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FOREWORD 


进入 20 世纪 90 年 代 后 ,没有 固定 基础 设施 支撑 、 由 若干 移动 节点 组 成 
的 无 线 自 组 织 网 络 ,简称 为 移动 Ad hoc 网 络 (Mobile Ad hoc Networks) , i£ 
渐 成 为 分 组 无 线 网 中 的 一 个 研究 热点 。 无 线 自 组 织 网 络 是 一 种 不 同 于 传统 
无 线 通 信和 网 络 的 技术 。 传 统 的 无 线 蜂 窜 通 信和 网络 ,需要 固定 的 网 络 设备 (如 
基地 站 ) 的 支持 ,进行 数据 的 转发 和 用 户 服务 控制 。 而 无 线 自 组 织 网 络 不 需 
要 固定 设备 支持 ,各 节点 即 用 户 终端 自行 组 网 ,通信 时 ,由 其 他 用 户 节点 进行 
数据 的 转发 。 这 种 网 络 形式 突破 了 传统 无 线 蜂 窜 网 络 的 地 理 局 限 性 ,能 够 更 
加 快速 便捷、 高 效 地 部 署 ,适合 于 一 些 紧 急 场 合 的 通信 需要 ,如 战场 的 单 兵 
通信 系统 。 它 主要 应 用 在 抢险 抗灾、 救援 .探险 .军事 行动 ,应急 任务 和 临时 
重大 活动 等 ,需要 快速 建立 移动 ,灵活 的 通信 系统 的 场合 中 。 它 无 论 是 在 民 
用 还 是 在 军事 上 都 有 着 显著 的 意义 ,而 为 了 完成 连续 和 无 颖 的 通信 要 求 ,无 
线 自 组 织 网 络 将 会 起 着 至 关 重 要 的 作用 ,因为 仅仅 基于 现 有 的 任何 系统 并 不 
能 支持 更 为 广泛 的 、 完 全 意义 上 的 连续 、 无 颖 通信 。 在 这 一 方面 ,无 线 自 组 织 
网 络 将 是 未 来 通信 中 关键 而 又 现实 的 延伸 , 它 可 以 灵活 的 扩展 到 任意 的 
地 域 。 

从 2000 年 开始 ,对 等 网 络 (Peer-to-Peer Network,P2P 网 络 ) 一 直 是 计算 
机 和 互联 网 领域 最 受 关注 的 热门 话题 之 一 。 《财富 ) 杂 志 将 P2P 技术 列 为 影 
响 Internet 未 来 的 四 项 科技 之 一 ,Intel 公司 也 给 了 P2P 技术 极 高 的 评价 ,将 
它 称 为 “第 三 代 网 络 革 命 "。 对 等 网 络 将 分 布 于 世界 各 地 的 个 人 计算 机 组 织 
起 来 ,通过 交换 进行 资源 和 服务 的 共享 。 这 些 资 源 和 服务 包括 信息 交换 、 高 
速 缓存 .处 理 能 力 、 存 储 空间 等 。 在 对 等 网 络 中 ,每 个 节点 自治 又 彼此 依赖 ， 
自治 是 指 每 个 节点 独立 决定 自己 的 行为 而 不 受 其 他 例如 集中 式 授权 机 构 的 
控制 ,同时 每 个 节点 又 需要 相互 协作 获得 信息 资源 .计算 资源 等 。 对 等 网 络 
具有 自 组 织 特性 ,表现 为 网 络 具 有 高 度 的 拓扑 弹性 和 容错 性 。 通 常 一 个 对 等 
网 络 规模 可 达到 几 十 万 甚至 上 百 万 个 计算 节点 ,参与 的 计算 节点 以 一 种 松散 
方式 进行 组 织 , 非 常 适合 广域网 络 和 Internet 的 应 用 ,并 且 已 经 涌现 了 不 少 
非常 具有 影响 力 的 应 用 系统 ,如 PPLive、PPStream、BT、eMule、Skype 等 。 
事实 上 ,对 等 网 络 已 经 在 文件 共享 与 内 容 分 发 、 分 布 式 数据 存储 、 分 布 式 计 
算 、 协 同 工 作 与 服务 共享 、 分 布 式 深度 搜索 引擎 .即时 通信 以 及 应 用 层 多 播 等 
多 个 领域 得 到 了 广泛 应 用 。 对 等 网 络 不 仅仅 是 一 种 技术 体系 ,更 是 一 种 思想 
变革 。 它 深刻 影响 了 Internet 的 诸多 应 用 ,被 视 为 下 一 代 Internet 应 用 的 
基础 。 
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有 感 于 无 线 自 组 织 网 络 和 对 等 网 络 技 术 的 迅速 发 展 ,以 及 研究 开发 人 员 的 对 此 领域 进 
一 步 研究 开发 的 需求 ,作者 在 自身 研究 工作 积累 的 基础 上 精心 编写 了 本 书 ,让 读者 分 享 我 们 
学 习 与 研究 工作 的 经 验 和 成 果 。 本 书 不 仅 可 以 使 初学 者 能 够 了 解 领域 内 的 研究 现状 ,也 可 
以 为 有 一 定 研究 基础 的 同行 提供 较为 系统 的 相关 的 技术 或 方案 ,弥补 这 一 领域 内 国内 研究 
资料 相对 匿 乏 的 境况 ,缩短 国内 学 者 的 研究 水 平 与 国际 一 流水 平 的 差距 ,贡献 出 更 多 的 具有 
自主 知识 产权 的 研究 成 果 。 

本 书 共 分 12 章 。 第 1 章 介绍 无 线 自 组 织 网 络 的 起 源 和 发 展 。 首 先 对 无 线 自 组 织 网 络 
的 概念 和 特点 进行 了 简要 叙述 。 然 后 介绍 无 线 自 组 织 网 络 的 起 源 、 发 展 历程 和 应 用 领域 。 
其 次 着 重 阐述 无 线 自 组 织 网 络 领域 中 关键 技术 的 研究 现状 及 相关 研究 机 构 。 

第 2 章 介 绍 无 线 自 组 织 网 络 的 安全 研究 进展 。 由 于 无 线 自 组 织 网 络 的 独特 结构 ,使 得 
常规 的 安全 方案 无 法 应 用 ,必须 针对 其 特点 设计 专门 的 安全 解决 方案 。 本 章 从 密 钥 管理 .路 
由 安全 、 入 侵 检 测 、 增 强 合作 几 个 方面 介绍 应 用 于 无 线 自 组 织 网 络 的 安全 解决 方案 。 首 先 讨 
论 密 钥 管理 ,主要 介绍 自 组 织 的 密 钥 管 理 和 分 布 式 的 密 钥 管 理 两 类 算法 ,指出 其 优点 和 缺 
点 。 然 后 分 析 五 种 典型 的 路 由 安全 协议 ,对 它们 进行 综合 比较 并 指出 其 存在 问题 及 改进 方 
法 。 接 下 来 说 明基 于 代理 (agent) 的 分 布 式 监 视 合作 检测 的 入 侵 检测 体系 结构 。 最 后 讨论 
基于 激励 和 基于 和 扰 罚 的 两 种 增强 合作 的 机 制 。 

第 3 章 设计 分 析 一 种 无 线 自 组 织 网 络 的 安全 架构 。 安 全 架构 借鉴 免疫 系统 的 思想 , 采 
用 多 代理 来 模拟 实现 淋巴 细胞 的 免疫 功能 ,设计 一 个 适用 于 无 线 自 组 织 网 络 的 安全 架构 , 实 
现 对 整个 网 络 的 入 侵 检测 和 入 侵 响应 ,同时 还 具有 学 习 机 制 、 分 布 式 、 自 适应 等 特点 。 最 后 ， 
通过 实例 分 析 阐明 安全 架构 的 有 效 性 。 

第 4 章 讨论 无 线 自 组 织 网 络 中 的 攻击 模型 。 本 章 分 析 无 线 自 组 织 网 络 的 安全 弱点 及 其 
导致 的 各 种 DoS 攻击 方式 。 然 后 研究 了 按 需 路 由 协议 AODV ,发 现 其 中 的 一 些 弱 点 ,该 弱 
点 可 能 导致 无 线 自 组 织 网 络 中 一 种 新 的 DoS 攻击 模型 一 Ad hoc Flooding 攻击 。 该 攻击 
主要 针对 移动 Ad hoc 网 络 中 的 按 需 路 由 协议 ,如 AODV、DSR $., Ad hoc Flooding 攻击 
是 通过 在 网 络 中 泛 洪 发 送 超 量 路 由 查询 报 文 ,大 量 地 占用 网 络 通信 及 节点 资源 ,以 至 于 阻塞 
节点 正常 的 通信 。 分 析 Ad hoc Flooding 攻击 之 后 ,提出 邻居 阻止 的 防御 策略 , 即 当 入 侵 者 
发 送 大 量 路 由 查询 报 文 时 ,邻居 节点 降低 对 其 报 文 的 处 理 优先 级 ,直至 不 再 接收 其 报 文 。 

第 5 章 介 绍 无 线 自 组 织 网 络 的 入 侵 检测 。 在 无 线 自 组 织 网 络 环境 下 ,因为 移动 节点 可 
能 被 攻击 截获 ,从 而 泄露 合法 密 钥 ,导致 攻击 从 内 部 产生 ,传统 的 网 络 安全 措施 ,如 防火 墙 、 
加 密 、 认 证 等 技术 ,在 无 线 自 组 织 网 络 中 难以 应 用 。 因 此 ,只 有 通过 入 侵 检测 才能 发 现 并 清 
除 入 侵 者 。 本 章 提出 一 种 基于 时 间 自 动机 分 布 式 合作 的 入 侵 检 测算 法 。 首 先 ,将 整个 网 络 
分 为 各 个 监视 区 域 ,每 一 区 域 随 机 选 出 禾 头 担任 监视 节点 ,负责 本 区 域 的 入 侵 检 测 。 其 次 ， 
按照 DSR 路 由 协议 构筑 节点 正常 行为 和 入 侵 行为 的 时 间 自 动机 ,监视 节点 收集 其 邻居 节点 
的 行为 信息 ,利用 时 间 自 动机 分 析 节 点 的 行为 ,发 现 入 侵 者 。 本 算法 不 需要 事先 进行 数据 训 
练 并 能 够 实时 检测 入 侵 行为 。 

第 6 章 分 析 无 线 自 组 织 网 络 的 主动 防护 机 制 。 无 线 自 组 织 网 络 是 由 移动 节点 自 组 织 形 
成 的 网 络 ,由 于 其 动态 拓扑 、 无 线 信道 的 特点 ,容易 遭受 各 种 安全 威胁 。 至今 提出 的 许多 安 
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全 方案 主要 集中 于 入 侵 阻 止 和 入 侵 检 测 两 个 领域 内 。 尽 管 这 些 安 全 方案 能 够 取得 一 定 的 安 
全 保障 效果 ,但 是 它们 都 只 是 被 动 地 去 发 现 和 阻止 入 侵 者 ,并 不 能 从 根本 上 消除 入 侵 行为 。 
为 了 解决 这 个 问题 ,本 文 提出 一 种 自动 入 侵 响应 模型 。 该 模型 通过 多 种 功能 的 代理 组 成 一 
个 整体 来 实现 主动 入 侵 响 应 ,首先 在 每 个 节点 布置 监视 代理 ,负责 收集 其 周围 每 个 邻居 节点 
的 行为 信息 。 然 后 每 个 区 域内 的 决策 代理 汇总 监视 代理 的 信息 并 进行 判断 。 最 后 ,阻击 代 
理 在 入 侵 者 周围 形成 一 道 移动 防火 墙 , 将 入 侵 者 包围 并 隔离 于 网 络 ,消除 入 侵 行为 ,从 而 实 
现 无 线 自 组 织 网 络 的 主动 防护 机 制 。 

第 7 章 介绍 无 线 局 域 网 的 安全 。 无 线 局 域 网 IWLAN) 是 近年 来 发 展 迅 速 的 无 线 数据 
通信 网 ,但 在 发 展 同时 , 它 又 面临 着 许多 安全 问题 。 首 先 对 无 线 局 域 网 进行 概述 ,然后 对 无 
线 局 域 网 的 安全 风险 和 安全 需求 进行 分 析 , 最 后 重点 阅 述 无 线 局 域 网 的 安全 技术 以 及 安全 
协议 。 

第 8 章 介绍 无 线 Mesh 网 络 安 全 ,无 线 Mesh 网 络 是 一 种 多 跳 . 具 有 自 组 织 和 自 您 特点 
的 网 络 , 是 近年 来 发 展 迅 速 的 宽带 无 线 通信 网 络 ,但 它 在 发 展 的 同时 ,又 面临 许多 安全 问题 。 
本 章 首先 对 无 线 Mesh 网 络 进行 了 概述 ,然后 对 无 线 Mesh 网 络 的 安全 风险 和 安全 需求 进 
行 了 分 析 , 最 后 重点 阐述 了 基于 MSA 协议 的 安全 协议 及 相关 技术 。 

第 9 章 介 绍 对 等 网 络 及 其 研究 进展 。 对 等 网 络 系统 是 一 个 新 兴 的 研究 领域 , 近 些 年 得 
到 迅速 发 展 。 首 先 对 对 等 网 络 进行 概述 性 介绍 ,包括 概念 、 分 类 及 应 用 情况 ,然后 重点 介绍 
对 等 网 络 在 路 由 ,拓扑 和 查询 这 三 方面 的 研究 工作 和 研究 进展 。 

第 10 章 介绍 对 等 网 络 的 安全 。 对 等 网 络 由 于 其 松散 性 的 组 织 , 随 着 应 用 的 普及 ,其 安 
全 问题 日 益 得 到 强调 和 重视 。 针 对 对 等 网 络 的 节点 的 自私 行为 和 恶意 行为 ,介绍 当前 对 等 
网 络 的 激励 机 制 、 信 任 机 制 以 及 文件 安全 机 制 的 研究 工作 。 

本 书 系统 ,全面 地 介绍 了 无 线 自 组 织 网 络 和 对 等 网 络 中 的 一 些 新 的 模型 算法、 协议 、 技 
术 等 ,内 容 丰 富 、 系 统 性 强 。 在 共同 讨论 形成 本 书 大 岗 的 基础 上 , 易 平 撰写 第 1 一 6 HAE 
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第 1 章 无 线 自 组 织 网 络 概 述 


摘要 : 无 线 自 组 织 网 络 技 术 是 支持 普 适 计算 及 未 来 移动 通信 系统 的 重要 
技术 基础 ,对 无 线 自 组 织 网 络 相关 技术 的 研究 已 经 成 为 计算 机 网 络 和 通信 和 领 
域 中 的 一 个 热点 。 本 章 首先 对 无 线 自 组 织 网 络 的 概念 和 特点 进行 了 一 个 简 
要 叙述 。 然 后 介绍 了 无 线 自 组 织 网 络 的 起 源 .发展 历 程 和 应 用 领域 。 其 次 着 
重 冰 述 了 无 线 自 组 织 网 络 领域 中 关键 技术 的 研究 现状 及 相关 研究 机 构 。 

关键 字 : 无 线 自 组 织 网 络 、 概 念 , 发 展 历程 、 应 用 领域 .关键 技术 、 研 究 
机 构 。 


1.1 研究 背景 


随 着 时 间 跨 入 21 世纪 ,人 类 社会 已 进入 一 个 内 新 的 发 展 阶段 一 一 信息 
社会 。 通 信和 网 络 技术 的 迅猛 发 展 加 速 了 信息 交流 , 极 大 地 促进 了 人 类 社会 
的 “全 球 化 ”, 深 刻 改 变 了 社会 的 经 济 、 政 治 与 生活 面貌 。 全 球 化 的 发 展 又 进 
一 步 刺 激 了 通信 和 与 网 络 技术 的 发 展 , 人 们 追求 任何 人 在 任何 时 间 、 任 何 地 点 
与 任何 人 进行 任何 种 类 的 信息 交换 。 

在 20 世纪 的 大 部 分 时 间 里 ,以 固定 电话 网 为 代表 的 有 线 网 络 一 直 是 信 
息 的 主要 载体 。 然 而 在 近 二 十 年 时 间 里 , 随 着 微 电 子 技术 与 无 线 通 信 理 论 的 
迅速 发 展 ,无 线 通 信和 网 络 获得 了 跨越 式 的 发 展 ,已 成 为 全 球 通 信和 网 络 的 主要 
组 成 部 分 ,最 根本 的 原因 在 于 无 线 通 信 网 络 使 人 们 摆脱 了 通信 线路 的 束缚 
更 接近 于 个 人 通信 的 需要 。 

近 些 年 来 ,无 线 通信 网 络 的 发 展 非常 迅速 ,这 主要 是 由 于 个 人 通信 的 需 
求 ,无 论 是 在 支持 范围 上 ,还 是 种 类 、 质 量 要 求 上 都 大 大 增加 的 缘故 ,而 连接 
世界 各 地 、 可 共享 现 有 信息 资源 的 因特网 (Internet) 的 崛起 更 是 极 大 地 刺激 
了 无 线 通信 的 发 展 。 无 线 通信 网 络 由 于 能 快速 灵活、 方便 地 支持 用 户 的 移 
动 性 而 使 它 成 为 个 人 通信 和 Internet 发 展 的 方向 ,目前 几乎 所 有 的 通信 系统 
都 与 无 线 通信 方式 有 关 , 如 蜂窝 系统 .无绳 系统 .卫星 通信 系统 .无线 局 域 网 
与 无 线 广 域 网 (WLAN/WAN) 中 移动 IP? , 无线 ATMC? 、 分 组 无 线 网 
(PRNET)™ ,无 线 自 组织 网 络 加 等 ,而 对 无 线 和 移动 的 相关 研究 成 为 这 些 通 
信 系 统 中 的 最 主要 的 部 分 。 

传统 意义 上 对 无 线 通信 网 络 的 研究 仅 限 于 一 跳 无 线 网 络 ,比如 蜂窝 系统 
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无 线 自 组 织 网 络 和 对 等 网 络 原 理 与 安全 


和 无 线 局 域 网 ,它们 都 属于 有 基础 设施 的 移动 无 线 网 络 。 在 这 些 系统 中 ,移动 用 户 ( 或 节点 ) 
在 有 限 的 区 域 里 ( 即 小 区 ?移动 ,借助 于 固定 的 具有 多 部 收发 信 机 、 可 全 双 工 方式 工作 的 基站 
和 可 以 大 容量 传输 的 有 线 骨 干 网 络 系统 而 与 其 他 用 户 通信 。 当 移动 用 户 移出 一 个 基站 的 覆 
盖 范 围 而 进入 到 另 一 个 基站 的 覆盖 范围 内 时 由 基站 实现 越 区 切换 ,这 样 移动 用 户 就 可 以 在 
整个 通信 和 网络 中 连续 、 无 缝 地 通信 。 

进入 20 世纪 90 年 代 后 ,没有 固定 基础 设施 支撑 、 由 若干 移动 节点 组 成 的 移动 自 组 织 网 
络 ,简称 为 无 线 自 组 织 网 络 (Mobile Ad hoc Networks) ,逐渐 成 为 分 组 无 线 网 中 的 一 个 研究 
热点 。 无 线 自 组 织 网 络 独立 于 任何 静态 的 基础 设施 ,可 即时 建立 。 它 主要 应 用 在 抢险 、 抗 
灾 、 救 援 探 险 , 军 事 行动 ,应 急 任务 和 临时 重大 活动 等 ,需要 快速 建立 ,移动 .灵活 的 通信 系 
统 的 场合 中 。 它 无 论 是 在 民用 还 是 在 军事 上 都 有 着 显著 的 意义 ,而 为 了 完成 连续 和 无 缝 的 
通信 要 求 ,无 线 自 组 织 网 络 将 会 起 着 至 关 重 要 的 作用 ,因为 仅仅 基于 现 有 的 任何 系统 并 不 能 
支持 更 为 广泛 的 、 完 全 意义 上 的 连续 ,无 缝 通信。 在 这 一 方面 ,无 线 自 组 织 网 络 将 是 未 来 通 
信 中 关键 而 又 现实 的 延伸 , 它 可 以 灵活 的 扩展 到 任意 的 地 域 。 

无 线 自 组 织 网 络 是 一 个 复杂 系统 ,所 涉及 的 研究 内 容 非 常 广泛 ,目前 对 它 的 研究 和 应 用 
已 发 展 成 为 通信 和 领域 的 一 个 独立 分 支 , 存 在 一 些 需 要 彻底 研究 的 问题 。 


1.1.1 无 线 自 组 织 网 络 的 概念 及 特点 


无 线 自 组 织 网 络 是 由 具有 无 线 通信 能 力 移动 节点 组 成 的 .具有 任意 和 临时 性 网 络 拓扑 
的 动态 自 组 织 网 络 系统 ,其 中 每 个 节点 既 可 作为 主机 也 可 作为 路 由 器 使 用 。Ad hoc 的 意思 
是 for this 引申 为 for this purpose only, 即 “为 某 种 目的 设置 的 ,特别 的 ”意思 , 即 Ad hoc 网 
络 是 一 种 有 特殊 用 途 的 网 络 。 移 动 终端 具有 路 由 功能 ,可 以 通过 无 线 连接 构成 任意 的 网 络 
拓扑 ,这 种 网 络 可 以 独立 工作 ,也 可 以 与 Internet 或 蜂窝 无 线 网 络 连接 。 在 后 一 种 情况 中 ， 
无 线 自 组 织 网 络 通常 是 以 末端 子 网 的 形式 接 和 人 现 有 网 络 。 考 虑 到 带宽 和 功率 的 限制 ,无 线 
自 组 织 网 络 一 般 不 适 于 作为 中 间 传 输 网 络 , 它 只 允许 产生 于 或 目的 地 是 网 络 内 部 节点 的 信 
息 进 出 ,而 不 让 其 他 信息 穿越 本 网 络 , 从 而 大 大 减少 了 与 现存 Internet 互 操作 的 路 由 开销 。 
无 线 自 组 织 网 络 中 ,每 个 移动 终端 兼备 路 由 器 和 主机 两 种 功能 : 作为 主机 ,终端 需要 运行 面 
向 用 户 的 应 用 程序 ; 作为 路 由 器 ,终端 需要 运行 相应 的 路 由 协议 ,根据 路 由 策略 和 路 由 表 参 
与 分 组 转发 和 路 由 维护 工作 。 在 无 线 自 组 织 网 络 中 ,节点 间 的 路 由 通常 由 多 个 网 段 ( 跳 ) 组 
成 ,由 于 终端 的 无 线 传 输 范 围 有 限 ,两 个 无 法 直接 通信 的 终端 节点 往往 要 通过 多 个 中 间 节 点 
的 转发 来 实现 通信 。 所 以 , 它 又 被 称 为 多 跳 无 线 网 、 自 组 织 网 络 、 无 固定 设施 的 网 络 或 对 等 
网 络 。 无 线 自 组 织 网 络 同时 具备 移动 通信 和 计算 机 网 络 的 特点 ,可 以 看 作 是 一 种 特殊 类 型 
的 移动 计算 机 通信 网 络 。 

图 1-1 描述 了 一 个 由 五 个 主机 组 成 的 简单 的 无 线 自 组 织 网络 。 主 机 D 不 在 主机 A 的 
无 线 覆盖 范围 之 内 (用 环绕 主机 A 的 圆 环 表示 ) ,同时 主机 A 也 不 在 主机 D 的 无 线 覆 盖 范 
围 内 。 如 果 主 机 A M D 之 间 需 要 交换 信息 ,就 需要 主机 B.C 为 它们 转发 分 组 ,因为 主机 B. 
C 在 主机 A 和 D 的 无 线 覆 盖 范 围 之 内 。 

与 通常 的 网 络 相 比 ,无 线 自 组 织 网 络 具 有 以 下 特点 加 : 

CD 网 络 的 自 组 织 性 : 无 线 自 组 织 网 络 相对 常规 通信 网 络 而 言 , 最 大 的 区 别 就 是 可 以 
在 任何 时 刻 、 任 何 地 点 不 需要 硬件 基础 网 络 设施 的 支持 ,快速 构建 起 一 个 移动 通信 网 络 。 它 
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1-1 一 个 简单 的 无 线 自 组 织 网 络 


的 建立 不 依赖 于 现 有 的 固定 网 络 通信 设施 ,由 网 络 本 身 节点 自 组 织 形成 网 络 。 无 线 自 组 织 
网 络 的 这 种 特点 很 适合 灾难 救助 .偏远 地 区 通信 等 应 用 。 

(2) 动态 的 网 络 拓扑 结构 : 在 无 线 自 组 织 网 络 中 ,移动 主机 可 以 在 网 中 以 任意 速度 和 
任意 方式 移动 ,主机 的 移动 会 导致 主机 之 间 的 链 路 增加 或 消失 ,主机 之 间 的 关系 不 断 发 
生变 化 。 加 上 无 线 发 送 装置 发 送 功率 的 变化 .无 线 信道 间 的 互相 干扰 及 地 形 和 地 物 等 综 
合 因素 影响 ,各 移动 节点 间 的 连接 关系 将 时 刻 发 生变 化 ,因此 ,造成 网 络 拓扑 结构 不 断 发 
生变 化 ,而 且 变 化 的 方式 和 速度 都 是 不 可 预测 的 。 对 于 常规 网 络 而 言 ,网 络 拓扑 结构 则 
相对 较为 稳定 。 

(3) 多 跳 的 通信 路 由 : 由 于 节点 无 线 发 射 功率 的 限制 ,节点 的 覆盖 范围 有 限 。 当 它 要 
与 其 覆盖 范围 之 外 的 节点 进行 通信 时 ,需要 中 间 节 点 进行 转发 。 此 外 ,无 线 自 组 织 网 络 中 的 
多 跳 路 由 是 由 普通 节点 协作 完成 的 ,而 不 是 由 专用 的 路 由 设备 (如 路 由 器 ) 完 成 的 。 网 络 中 
每 一 个 节点 可 充当 多 个 角色 ,它们 可 以 是 服务 器 ,终端 路 由 器 。 

CD 有 限 的 无 线 通信 带宽 : 在 无 线 自 组 织 网 络 中 没有 固定 基础 设施 的 支持 ,因此 ,主机 
之 间 的 通信 均 通 过 无 线 传输 来 完成 。 由 于 无 线 信 道 本 身 的 物理 特性 , 它 提供 的 网 络 带宽 相 
对 有 线 信 道 要 低 得 多 。 除 此 以 外 ,考虑 到 竞争 共享 无 线 信道 产生 的 碰撞 、 信 号 衰减 .噪音 干 
扰 等 多 种 因素 ,移动 终端 可 得 到 的 实际 带宽 远 远 小 于 理论 中 的 最 大 带宽 值 。 

C5) 有 限 的 主机 能 源 : 在 无 线 自 组 织 网 络 中 ,主机 均 是 一 些 移动 设备 ,如 PDA、 便 携 计 
算 机 或 掌上 电脑 。 由 于 主机 可 能 处 在 不 停 的 移动 状态 下 ,主机 的 能 源 主要 由 电池 提供 , 因 
此 ,网 络 具有 能 源 有 限 的 特点 。 

(6) 网 络 的 分 布 式 特性 : 在 无 线 自 组 织 网 络 的 各 节点 都 具备 独立 的 路 由 能 力 , 没 有 中 
心 控 制 节点 对 各 节点 网 络 操作 进行 控制 ,节点 通过 分 布 式 协议 互联 。 一 旦 网 络 的 某 个 或 某 
些 节 点 发 生 故 障 , 其 余 的 节点 仍然 能 够 正常 工作 。 

(7) 生存 周期 短 : 无 线 自 组 织 网 络 主要 用 于 临时 的 通信 需求 ,相对 与 有 线 网 络 , 它 的 生 
存 时 间 一 般 比较 短 。 

(8) 安全 性 较 差 : 无 线 自 组 织 网 络 是 一 种 特殊 的 无 线 移动 网 络 , 由 于 采用 无 线 信道 有 
限 电源 、 分 布 式 控制 等 技术 , 它 更 加 容易 受到 被 动 窍 听 、 主 动人 侵 、 拒 绝 服务 .剥夺 * 睡 眼 ”等 
网 络 攻 击 。 信 道 加 密 、 抗 干扰 、 用 户 认证 和 其 他 安全 措施 都 需要 特别 考虑 。 

(9) 移动 节点 的 局 限 性 : 无 线 自 组 织 网 络 中 ,移动 节点 具有 携带 方便 ,轻便 灵巧 等 好 
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处 ,但 是 也 存在 固有 缺陷 ,例如 能 源 受 限 .内存 较 小 .CPU 性 能 较 低 等 ,从 而 给 应 用 程序 设计 
开发 带 来 一 定 的 难度 ,同时 屏幕 等 外 设 较 小 ,不 利于 开展 功能 较 复 杂 的 业务 。 


1.1.2 无 线 自 组 织 网 络 的 发 展 历 程 


无 线 自 组 织 网 络 技术 起 源 于 20 世纪 70 年 代 , 它 是 在 美国 国防 部 高 级 研究 计划 局 
(DARPA) 资 助 研究 的 “战地 无 线 分 组 数据 网 (PRNET)” 中 项 目 中 产生 的 一 种 新 型 网 络 技 
A. DARPA 当时 所 提出 的 是 一 种 军用 无 线 分 组 数据 通信 和 网络。 在 此 之 后 ,DARPA 于 
1983 年 启动 了 高 残存 性 自 适应 网 络 项 目 SURAN(Survivable Adaptive Network)! ,研究 
如 何 将 PRNET 的 研究 成 果 加 以 扩展 ,以 支持 更 大 规模 的 网 络 。1994 年 ,DARPA 又 启动 了 
全 球 移动 信息 系统 GloMo(Globle Mobile Information Systems)Jii H7 , 旨 在 对 能 够 满足 军 
事 应 用 需要 的 、 可 快速 展开 、 高 抗 毁 性 的 移动 信息 系统 进行 全 面 深入 的 研究 ,以 便 能 够 建立 
某 些 特殊 环境 或 紧急 情况 下 的 无 线 通信 网 络 。 无 线 自 组 织 技术 就 是 吸取 了 PRNET、 
SURAN 以 及 GloMo 等 项 目的 组 网 思想 ,而 产生 的 一 种 新 型 的 网 络 结构 技术 。 美 国 军 方 一 
直 在 研究 适用 于 军 方 的 无 线 自 组 织 网 络 技术 ,后 来 又 陆续 资助 了 联合 战术 无 线 系统 
(JTRS) 中 等 项 目 。 成 立 于 1991 年 5 月 的 IEEE 802. 11 标准 委员 会 四 采用 了 "Ad hoc 网 
络 ” 一 词 来 描述 这 种 特殊 的 自 组 织 对 等 式 多 跳 移动 通信 和 网络 ,无 线 自 组 织 网 络 就 此 诞生 。 
IETF 也 将 无 线 自 组 织 网 络 称 为 MANET(Mobile Ad hoc Networks)" , 

随 着 移动 通信 和 移动 终端 技术 的 高 速 发 展 ,无 线 自 组 织 网 络 技术 不 仅 在 军事 领域 中 得 
到 了 充分 的 发 展 ,而 且 也 在 民用 移动 通信 中 得 到 了 应 用 。 典 型 的 系统 有 加 拿 大 最 早 研 究 的 
业余 分 组 无 线 网 (TAPR)m" ,图 书馆 自动 化 无 线 电 网 络 中 等 。Internet 任务 工作 组 (IETF) 
T 1996 年 成 立 了 MANET(Mobile Ad hoc Networks) 工 作 组 ,专门 研究 Ad hoc 网 络 环境 
下 基于 IP 协议 的 路 由 协议 规范 和 接口 设计 29 。 这 使 得 无 线 自 组 织 网 络 的 设计 思路 也 由 传 
统 的 单一 技术 体系 过 渡 到 基于 TP. 的 多 技术 体系 ,从 而 使 该 网 络 更 具有 开放 型 .适应 性 、 灵 活 
性 ,提高 了 开发 和 应 用 速度 。 随 着 配备 有 无 线 收发 设备 的 高 性 能 移动 终端 的 降价 和 将 要 随 
之 而 来 的 普及 性 ,加 上 人 们 对 于 个 人 通信 需求 的 日 益 增长 ,使 得 无 线 自 组 织 网 络 的 研究 重新 
开始 得 到 国内 外 研究 人 员 的 重视 。 特 别 是 从 1998 年 以 来 ,无 论 是 国内 还 是 国外 ,各 科研 团 
体 对 无 线 Ad hoc 网 络 的 研究 不 断 升 温 ,尤其 是 在 网 络 层 的 路 由 协议 方面 ,其 研究 工作 已 经 
取得 了 很 大 的 进展 。 


1.1.3 无 线 自 组 织 网 络 的 应 用 领域 


无 线 自 组 织 网 络 的 许多 优良 特性 为 它 在 民用 和 军事 通信 和 领域 占据 一 席 之 地 提供 了 有 利 
的 依据 。 首 先 ,网 络 的 自 组 织 性 提供 了 廉价 而 且 快 速 部 署 网 络 的 可 能 。 其 次 ,多 跳 和 中 间 节 
点 的 转发 特性 可 以 在 不 降低 网 络 覆盖 范围 的 条 件 下 减少 每 个 终端 的 发 射 范围 ,从 而 降低 设 
计 天 线 和 相关 发 射 /接收 部 件 的 难度 ,也 降低 了 设备 的 功 耗 ,从 而 为 移动 终端 的 小 型 化 、 低 功 
耗 提供 了 可 能 。 从 共享 无 线 信道 的 角度 来 看 ,无 线 自 组 织 网 络 降 低 了 信号 冲突 的 几率 ,提高 
了 信道 利用 率 。 从 对 使 用 者 的 保护 来 看 ,高 功率 的 无 线 电波 产生 的 电磁 辐射 对 用 户 的 身体 
健康 也 有 影响 。 另 外 ,网 络 的 鲁 棒 人 性 、 抗 毁 性 满足 了 某 些 特定 应 用 需求 。 它 的 应 用 场合 可 以 
归纳 为 以 下 几 类 。 


第 章 无 线 自 组 织 网 络 概述 


CL) 军事 应 用 : 军事 应 用 是 无 线 自 组 织 网 络 技术 的 主要 应 用 领域 。 在 现代 化 的 战场 
上 ,由 于 没有 基站 等 基础 设施 ,装备 了 移动 通信 装置 的 军事 人 员 、 军 事 车 辆 以 及 各 种 军事 设 
备 之 间 可 以 借助 无 线 自 组 织 网 络 进行 信息 交换 ,以 保持 密切 联系 、 协 作 完 成 作战 任务 。 装 备 
音频 传感器 和 摄像 头 的 军事 车 辆 和 设备 也 能 够 组 成 无 线 自 组 织 网 络 将 在 目标 区 域 收集 重要 
的 位 置 和 环境 信息 传送 到 处 理 节点 。 另 外 ,需要 通信 的 舰队 战斗 群 之 间 也 可 以 通过 无 线 自 
组 织 网 络 建立 通信 而 不 必 依赖 陆地 或 卫星 通信 系统 。 无 线 自 组 织 网 络 因 其 特有 的 无 需 架 设 
网 络 设施 .可 快速 展开 、 抗 毁 性 强 等 特点 , 它 是 数字 化 战场 通信 的 首选 技术 ,并 已 经 成 为 战术 
互联 网 的 核心 技术 。 为 了 满足 信息 战 和 数字 化 战场 的 需要 ,美军 研制 了 大 量 的 无 线 自 组 织 
网 络 设备 ,用 于 单 兵 车载、 指挥 所 等 不 同 的 场合 ,并 大 量 装备 部 队 。 美 军 的 近期 数字 电台 
NTDR 和 无 线 互联 网 控制 器 等 通信 装备 都 使 用 了 无 线 自 组 织 网 络 技术 。 

(2) 移动 会 议 : 目前 , 越 来 越 多 的 人 携带 手提 电脑 .PDA 等 便携 式 设备 参加 各 种 会 议 。 
如 果 与 会 者 不 用 借助 路 由 器 、 集 线 器 或 基站 就 能 将 各 种 移动 终端 快速 地 组 织 成 无 线 网 络 从 
而 完成 提问 、 交 流 以 及 资料 的 分 发 ,这 无 疑 具 有 重要 的 意义 ,而 无 线 自 组 织 网 络 就 具有 这 样 
的 功能 。 当 一 些 移动 用 户 聚集 在 办 公 室 外 的 某 个 环境 时 ,他 们 也 可 以 借助 无 线 自 组 织 网 络 
来 协同 工作 。 此 外 ,借助 无 线 自 组 织 网 络 还 可 以 实现 分 布 式 会 议 

(3) 紧急 和 突 发 场合 : 在 自然 灾害 或 其 他 各 种 原因 导致 网 络 基 础 设施 出 现 故障 或 无 法 
使 用 时 ,快速 地 恢复 通信 是 非常 重要 的 。 借 助 于 无 线 自 组 织 网 络 技术 和 协议 ,可 以 快速 地 建 
立 临时 网 络 ,延伸 网 络 基 础 设施 ,从 而 为 营救 赢得 时 间 ,减少 灾难 所 带 来 的 危害 。 例 如 ,在 因 
发 生 了 地 震 、 水 灾 、 火 灾 或 遭受 其 他 灾难 后 而 使 得 基站 、 通 信 干 线 等 基础 通信 设施 无 法 使 用 
时 ,可 以 形成 无 线 自 组 织 网 络 来 快速 地 建立 联系 ,组 织 营 救 。 此 外 , 当 刑 警 或 消防 队员 紧急 
执行 任务 时 ,可 以 通过 无 线 自 组 织 网 络 来 保障 通信 指挥 的 顺利 进行 。 

(4) 偏远 野外 地 区 : 当 处 于 边远 或 野外 地 区 时 ,无 法 依赖 固定 或 预 设 的 网 络 设 施 进 行 
通信 。 无 线 自 组 织 网 络 技 术 具 有 单独 组 网 能 力 和 自 组 织 特点 ,是 这 些 场合 通信 的 最 佳 选择 。 

(5) 临时 场合 : 无线 自 组 织 网 络 的 快速 .简单 组 网 能 力 使 得 它 可 以 用 于 临时 场合 的 通 
信 。 比 如 庆典 、 展 览 等 场合 ,可 以 免 去 布线 和 部 署 网 络 设 备 的 工作 。 

(6) 动态 场合 和 分 布 式 系统 : 通过 无 线 连接 远 端 的 设备 、 传 感 节点 和 激励 器 ,无 线 自 组 
织 网 络 可 以 方便 地 用 于 分 布 式 控制 ,特别 适合 于 调度 和 协调 远 端 设备 的 工作 ， APRENE 
制 系统 的 维护 和 重 配置 成 本 。 无 线 自 组织 无 线 网 络 还 可 以 用 于 在 自动 高 速 公路 系统 
(AHS) 中 协调 和 控制 车 辆 59 ,对 工业 处 理 过 程 进行 远程 控制 等 。 

(7) 个 人 通信 : 个 人 局 域 网 (PAN) 是 无 线 自 组 织 网 络 技术 的 又 一 应 用 领域 ,用 于 实现 
PDA\ 手 机 ,掌上 电脑 等 个 人 电子 通信 设备 之 间 的 通信 ,并 可 以 构建 虚拟 教室 和 讨论 组 等 错 
新 的 移动 对 等 应 用 (MP2P)。 考 虑 到 电磁 波 的 辐射 问题 ,个 人 局 域 网 通信 设备 的 无 线 发 射 
功率 应 尽量 小 ,这 样 无 线 自 组 织 网 络 的 多 跳 通 信和 能 力 将 再 次 展现 它 的 独特 优势 。 

(8) 商业 应 用 : 组 建 家 庭 无 线 网 络 、 无 线 数据 网 络 、 移 动 医疗 监护 系统 和 无 线 设备 网 
络 ,开展 移动 和 可 携带 计算 以 及 无 所 不 在 的 通信 业务 等 。 

(9) 其 他 应 用 : 考虑 到 无 线 自 组 织 网 络 具 有 很 多 优良 特性 , 它 的 应 用 领域 还 有 很 多 ,这 
需要 我 们 进一步 去 挖掘 。 比 如 它 可 以 用 来 扩展 现 有 蜂窝 移动 通信 系统 的 覆盖 范围 5 ,实现 
地 铁 和 隧道 等 场合 的 无 线 覆 盖 , 实 现 汽 车 和 飞机 等 交通 工具 之 间 的 通信 ,用 于 辅助 教学 和 构 
建 未 来 的 移动 无 线 城 域 网 和 自 组 织 广域网 "9 等 。 
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12 无 线 自 组 织 网 络 的 主要 研究 领域 


无 线 自 组 织 网 络 拥有 许多 优良 特性 ,能 够 广泛 应 用 于 许多 场合 ,但 同时 还 应 注意 到 设计 
和 应 用 该 网 络 面临 的 诸多 技术 难点 。 随 时 变化 的 链 路 特性 和 网 络 拓扑 、 节 点 的 移动 性 、 受 限 
的 链 路 带宽 和 节点 能 量 、 恶 劣 的 无 线 环境 和 安全 性 都 是 我 们 必须 面 对 的 问题 。 因 此 ,必须 仔 
细 考 虑 节点 的 硬件 设计 (小 型 化 .智能 化 和 节能 化 ) 和 协议 栈 的 各 个 层次 。 在 物理 层 , 要 解决 
衰落 、 多 径 干 扰 、 功 率 控制 等 无 线 通信 经 常 遇 到 的 问题 。 在 数据 链 路 层 , 要 解决 多 跳 共 享 的 
广播 信道 的 有 效 接 人 问题 。 网 络 层 需要 特殊 的 路 由 协议 来 维护 网 络 动态 变化 的 拓扑 信息 。 
在 传输 层 ,要 解决 无 线 环境 下 传输 层 的 效率 问题 。 应 用 层 要 具有 一 定 的 自 适 应 流量 控制 功 
能 。 并 且 还 要 考虑 协议 栈 各 个 层次 的 紧密 协作 ,以 适应 网 络 条 件 和 应 用 需求 的 变化 。 此 外 ， 
网 络 的 自 组 织 特性 、 无 中 心 控制 . 易 配 置 性 和 可 编程 性 等 特征 都 对 协议 的 设计 提出 了 新 的 特 
殊 的 要 求 。 也 就 是 说 ,无 线 自 组 织 网 络 的 设计 需要 综合 考虑 资源 效率 、 能 量 保 护 \ 信 道 接 入 、 
路 由 和 资源 分 配 等 问题 并 进行 合理 的 折 中 。 

无 线 自 组 织 网 络 一 方面 作为 自治 系统 ,有 自身 特殊 的 路 由 协议 和 网 络 管理 机 制 ; 另 一 
方面 作为 Internet 在 无 线 和 移动 范畴 的 扩展 和 延伸 , 它 又 必须 能 够 提供 到 Internet 的 无 颖 
的 接 入 机 制 。 当 前 Internet 已 经 可 以 在 一 定 程 度 上 保证 综合 业务 传输 的 服务 质量 ,近年 来 
随 着 多 媒体 应 用 的 普及 和 Ad hoc 网 络 在 商业 应 用 的 进展 ,人 们 很 自然 地 会 产生 在 无 线 自 组 
织 网 络 上 传送 综合 业务 的 需求 ,并 且 和 希望 能 像 固定 的 有 线 网 络 一 样 为 不 同业 务 的 服务 质量 
提供 保障 ,因此 无 线 自 组 织 网 络 对 QoS 保障 的 支持 显得 越 来 越 迫 切 和 重要 。 但 是 与 固定 的 
有 线 网 络 不 同 ,在 无 线 自 组 织 网 络 中 提供 QoS 支持 将 面临 许多 不 同 于 传统 网 络 的 新 间 题 和 
挑战 。 

无 线 自 组 织 网 络 是 一 种 动态 变化 的 基于 无 线 信 道 的 自 组 织 网 络 , 它 的 体系 结构 .QoS 
保障 和 应 用 等 问题 比较 复杂 并 难以 实现 。 传 统 固定 网 络 和 蜂窝 移动 通信 网 中 使 用 的 各 种 协 
议和 技术 无 法 被 直接 使 用 ,因此 需要 为 无 线 自 组 织 网 络 设计 专门 的 协议 和 技术 。 目 前 ,无线 
自 组 织 网 络 的 主要 研究 领域 包含 MAC 层 协议 .路 由 协议 、 如 何 节省 能 源 .QoS 保证 、 网 络 安 
全 ,多 播 、 网 络 管理 等 多 个 方面 。 


1.2.1 MAC 层 协议 


在 无 线 自 组 织 网 络 中 ,由 于 节点 的 通信 范围 有 限 和 随机 移动 特性 ,将 会 产生 隐藏 和 暴露 
终端 等 问题 "9 。“ 隐 藏 终端 ?是 指 , 在 图 1 中 , 当 节点 A 向 节点 B 发 送信 息 时 ,节点 C 未 侦 
测 到 人 A 也 向 B 发 送 , 故 A 和 C 同时 将 信号 发 送 至 B, 引 起 信号 冲突 ,最 终 导致 发 送 至 B 的 信 
号 都 丢失 了 。 此 时 称 A 对 C 是 隐藏 的 终端 “暴露 终端 "是 指 ,正当 B 向 A 发 送信 息 时 ,C 
要 向 D 发 送信 息 , 但 此 时 C 监听 到 B 正在 发 送 报 文 ,C 认为 信道 忙 ,于 是 不 能 向 DD 发 送 ,此 
时 实际 上 C 是 可 以 向 D 发 送信 息 的。 这 就 是 暴露 终端 问题 。 

由 于 现 有 的 CSMA 协议 不 能 直接 应 用 于 无 线 自 组 织 网 络 ,因此 必须 采用 新 型 的 MAC 
协议 ,以便 获得 较 高 的 信道 利用 率 和 较 低 时 延 的 公平 接 和 人 。 对 于 隐藏 终端 问题 ,可 以 采用 控 
制 报 文 握手 协议 的 方法 来 解决 。 但 是 在 单 信道 条 件 下 则 无 法 彻底 解决 ,为 此 必须 采用 双 信 
道 方式 : 收发 数据 的 数据 信道 和 收发 控制 信号 的 控制 信道 。 目 前 ,已 经 提出 了 一 些 可 以 应 
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用 于 无 线 自 组 织 网 络 的 MAC 协议 57 ,如 MACAT MACAW" FAMA?” ftl DCF ,以 及 
DBTWA5 等 。 其 中 ,多 址 接 入 冲突 避免 协议 (MACA) 采 用 了 RTS/CTS 信道 的 握手 机 制 ， 
提高 了 无 线 信道 的 利用 率 ,并 解决 了 部 分 隐藏 终端 问题 ,但 是 仍然 无 法 避免 控制 分 组 间 的 冲 
突 , 不 具备 链 路 层 的 确认 机 制 ,协议 的 公平 性 也 较 差 。 针 对 MACA 存在 的 问题 ,无 线 多 址 
接 入 冲突 避免 协议 (MACAW) 进 行 了 改进 ,采用 乘法 增加 线性 减少 退 避 算法 蔡 代 了 二 进 制 
指数 退 避 算法 ,可 以 获得 更 好 的 公平 性 ,同时 采用 RTS 和 CTS 的 数据 应 答 握手 机 制 , 进 一 
步 提高 信道 的 利用 率 , 但 是 协议 的 主要 缺点 是 通信 中 控制 信息 交互 次 数 太 多 ,并 且 也 不 能 完 
全 解决 暴露 终端 问题 。FAMA 是 基于 单 信道 的 无 线 自 组 织 网 络 信道 接 入 协议 中 较 成 功 的 
一 种 。 美 军 在 无 线 互联 网 网 关中 使 用 的 信道 接 入 协议 就 是 FAMA, 它 对 MACA 和 
MACAW 作 了 进一步 改进 ,通过 延长 RTS 和 CTS 控制 报 文 的 长 度 来 消除 控制 报 文 的 冲 
突 ,从 而 比较 好 地 解决 了 隐藏 终端 问题 ,同时 节点 可 发 送 多 个 报 文 ,增加 了 网 络 的 乔 吐 量 。 
IEEE 802. 11 的 DCF 提供 了 对 无 线 自 组 织 网 络 的 支持 ,信道 接 入 采用 CSMA/CA 机 制 , 并 
采用 了 类 似 于 MACAW 的 握手 机 制 ,但 区 别 在 于 它 使 用 了 载波 监听 功能 。 以 上 的 几 种 方 
法 都 是 建立 在 所 有 相关 节点 都 能 听 到 RTS/CTS 消息 的 假设 条 件 基础 上 ,然而 在 高 速 移动 
的 大 型 网 络 中 这 种 假设 有 时 并 不 成 立 。 当 网 络 负载 很 高 时 CTS 发 生 冲 突 的 概率 很 大 ,为 了 
解决 这 些 问 题 , 提 出 了 双 忙 音 多 址 接 入 协议 DBTMA。 通 过 双 信 道 加 忙 音 的 方法 ,不 仅 解决 
了 隐藏 终端 问题 ,而 且 降 低 了 控制 信号 发 生 冲 突 的 概率 ,因而 网 络 利 用 率 较 MACAW 提高 

上 述 的 信道 接 入 协议 ,在 一 定 程度 上 解决 了 无 线 自 组 织 网 络 中 的 信道 接 入 问题 ,但 都 存 
在 着 一 定 的 局 限 性 ,一 般 都 要 求 较 小 的 网 络 规模 和 较 低 的 移动 性 。 其 中 ,DBTMA, 是 相对 
比较 好 的 信道 接 入 控制 方案 ,有 着 良好 的 应 用 前 景 。 当 前 ,信道 接 入 协议 的 研究 仍 在 进行 之 
中 ,未 来 的 研究 方向 包括 如 何 为 实时 业务 提供 较 好 的 支持 、 如 何 支持 广播 和 多 播 业务 以 及 考 
虑 支持 业务 优先 级 和 基于 受 控 方 式 的 接 入 机 制 等 。 


1.2.2 路 由 协议 


无 线 自 组 织 网 络 路 由 协议 方面 的 研究 是 无 线 自 组 织 网 络 最 重要 的 研究 方向 之 一 。 网 络 
中 节点 随时 移动 ,网络 拓 扑 动态 变化 ,使 得 传统 的 距离 向 量 和 链 路 状态 路 由 协议 不 再 适用 于 
无 线 自 组 织 网 络 ,必须 根据 无 线 自 组 织 网 络 的 特点 进行 修改 ,或 者 提出 一 些 新 的 路 由 协议 。 
设计 良好 的 路 由 协议 是 建立 无 线 自 组 织 网 络 的 首要 问题 ,也 是 主要 的 研究 热点 和 难点 。 至 
今 已 经 提出 了 数 十 种 适用 于 无 线 自 组 织 网 络 的 路 由 协议 空 -5 ,综合 起 来 可 以 分 为 三 大 类 ， 
平面 路 由 协议 .层次 路 由 协议 .位 置 路 由 协议 。 在 平面 路 由 协议 中 ,各 节点 具有 平等 的 地 位 。 
而 在 层次 路 由 协议 中 ,通常 指定 一 些 节点 担任 复 头 的 角色 ,负责 其 区 域内 节点 和 区 域 间 节点 
的 通信 。 位 置 路 由 则 要 求 每 个 节点 必须 装备 GPS 设备 .能够 确定 节点 方位 。 平 面 路 由 协议 
中 有 可 分 为 预先 路 由 协议 和 按 需 路 由 协议 。 每 类 协议 中 又 包含 许多 协议 ,如 图 1-1 所 示 。 
由 于 篇 幅 所 限 ,这 里 只 提出 了 一 些 比较 典型 的 路 由 协议 ( 见 图 1-2)。 如 : 预先 路 由 协议 中 的 
FSR“) DSDV®™ , OLSR?9 , TBRPF?? 。 按 需 路 由 协议 中 的 DSRG9 、AODVGD 。 层 次 路 
由 协议 中 的 HSREG3 , CGSRS , LANMARS4 ,ZRPO9, 。 位 置 路 由 协议 中 的 GeoCastG9 、 
DREAME” .LAR .GPSR59 。 能 量 路 由 协议 中 的 PAROU? ,PAMASP?, 
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图 1-2 无 线 自 组 织 网 络 路 由 协议 的 分 类 


平面 路 由 协议 的 网 络 比较 简单 ,无 需 任 何 的 结构 维护 过 程 。 源 节点 和 目的 节点 之 间 可 
以 存在 多 条 路 径 , 可 以 使 用 多 条 路 径 实现 负荷 分 担 , 也 可 以 为 不 同 的 业务 类 型 选择 适当 的 路 
径 。 网 络 中 所 有 节点 是 对 等 的 ,原则 上 不 存在 瓶颈 ,所 以 比较 健壮 。 平 面 路 由 协议 中 节点 的 
覆盖 范围 比较 小 ,相对 较 安 全 。 平面 路 由 协议 的 最 大 缺点 是 网 络 规模 受 限 。 在 平面 路 由 中 ， 
每 一 个 节点 都 需要 知道 到 达 其 他 所 有 节点 的 路 由 。 由 于 节点 的 移动 性 ,维护 这 些 动 态 变 化 
的 路 由 信息 需要 大 量 的 控制 消息 。 网 络 规 模 越 大 ,路 由 维护 的 开销 就 越 大 。 当 网 络 的 规模 
增加 到 某 个 程度 时 ,所 有 的 带宽 都 可 能 会 被 路 由 协议 消耗 掉 。 所 以 平面 路 由 协议 网 络 的 可 
扩充 性 较 差 。 

平面 路 由 协议 中 可 分 为 预先 路 由 协议 和 按 需 路 由 两 类 ,预先 式 路 由 协议 一 般 是 表 驱 动 
的 , 它 需 要 在 每 个 节点 维护 一 个 或 多 个 路 由 表 , 其 中 包含 了 该 节点 到 网 络 中 所 有 其 他 节点 一 
致 的 .最 新 的 路 由 信息 。 为 了 维护 这 样 的 路 由 表 , 每 个 节点 要 定期 向 网 络 广播 拓扑 信息 ,以 
维护 一 致 的 网 络 视图 。 采 用 不 同 数量 和 内 容 的 路 由 表 以 及 不 同 的 广播 策略 , 即 形成 了 各 种 
不 同 的 具体 路 由 协议 ,如 : DSDVC7 FSR?) 、OLSRE9 , TBRPF^? 。DSDV5 原理 是 基于 
经 典 的 Bellman-Ford 路 由 机 制 , 其 所 做 的 主要 改进 是 防止 路 由 表 产 生 循环 路 由 。 在 DSDV 
(Destination Sequenced Distance Vector Routing) 协 议 中 ,每 个 节点 维护 一 个 路 由 表 , 其 中 
记录 了 网 络 中 所 有 其 他 节点 以 及 到 达 这 些 节点 的 跳 数 。 路 由 表 中 的 记录 由 目的 节点 指定 的 
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顺序 号 标识 ,该 顺序 号 隐 含 了 时 间 顺 序 信 息 , 以 区 分 新 路 由 和 过 时 路 由 ,并 由 此 避免 路 由 循 
环 。FSR(Fisheye State Routing)59 是 预先 型 链 路 状态 路 由 协议 ,其 目的 是 通过 鱼 眼 效应 ， 
即 近 处 的 物体 清晰 , 远 处 的 物体 模糊 ,来 减少 路 由 信息 流量 。FSR 对 链 路 状态 算法 进行 了 
一 些 修 改 。 仅 在 邻 节 点 间 交 换 链 路 状态 信息 ,而 不 是 将 链 路 状态 信息 广播 到 整个 网 络 。 
FSR 对 于 路 由 表 中 不 同 的 记录 采用 不 同 的 时 间 间 隔 交 换 链 路 状态 信息 。 对 于 较 近 的 节点 
用 较 短 间隔 交换 链 路 状态 信息 ,对 于 较 远 的 节点 用 较 长 的 间隔 交换 状态 信息 。 通 过 这 些 手 
段 减少 了 路 由 信息 ,并 降低 了 传输 频率 。OLSR(COptimized Link State Routing) 9 J: — fs 
优化 的 链 路 状态 协议 ,与 其 他 表 驱 动 的 预选 型 路 由 协议 一 样 ,节点 间 需 要 有 规律 地 交换 网 络 
拓扑 信息 。 但 不 是 每 个 节点 都 可 以 交换 路 由 信息 。 被 邻 节 点 选 为 多 点 中 继 站 的 节点 才能 周 
期 性 地 向 网 络 广播 控制 信息 ,控制 信息 中 包含 了 把 它 选 为 中 继 节点 的 那些 节点 的 信息 。 以 
告诉 网 络 中 其 他 节点 与 这 些 节 点 直接 相连 。 只 有 中 继 节 点 被 用 做 路 由 节点 。 非 中 继 节点 不 
参与 路 由 计算 ,不 转发 路 由 信息 。OLSR 减少 了 路 由 信息 在 网 络 中 泛 洪 程度 ,降低 了 网 络 


按 需 路 由 协议 的 出 发 点 是 只 有 当 节 点 需要 路 由 时 才 建 立 路 由 ,通信 过 程 中 才 维 持 路 由 ， 
通信 完毕 就 不 再 维持 路 由 。 一 般 地 , 按 需 路 由 都 包括 三 个 过 程 : 路 由 发 现 过 程 . 路 由 维持 过 
程 和 路 由 拆除 过 程 。DSR(Dynamic Source Routing)5G9 使 用 了 源 路 由 机 制 , 每 一 个 分 组 的 
分 组 头 中 包含 整 条 路 由 的 信息 ,其 优点 是 中 间 节 点 不 需要 维持 当前 的 路 由 信息 ,分 组 自己 带 
有 路 巾 信息 。 再 加 上 按 需 路 由 的 特性 ,就 避免 了 周期 性 的 路 由 广播 和 邻 节 点 的 检测 。 
AODV(Ad hoc On Demand Distance Vector Routing) "Y Hv fE DSDV 算法 之 上 的 ,但 是 
它 并 不 维持 一 个 路 由 表 , 而 是 在 需要 的 时 候 才 启动 路 由 选择 过 程 ,因此 大 大 地 降低 了 路 由 维 
持 的 开销 。 事实 上 它 是 DSR 和 DSDV 的 组 合 , 它 借用 了 DSR 的 按 需 路 由 发 现 和 路 由 维持 
机 制 , 利 用 了 DSDYV 的 多 跳 路 由 、 顺 序 编号 和 周期 更 新 的 机 制 。 

预先 路 由 协议 通过 连续 地 检测 链 路 质量 ,时 刻 维护 准确 的 网 络 拓扑 和 路 由 信息 。 优 点 
是 发 送 报 文 时 可 以 立即 得 到 正确 的 路 由 。 但 预先 路 由 协议 需要 大 量 的 控制 报 文 ,开销 太 大 。 
按 需 路 由 协议 中 的 节点 不 用 持续 维护 网 络 的 拓扑 结构 。 仅 当 需 要 时 , 才 查 找 相应 的 路 由 ,这 
就 节省 了 路 由 维护 的 开销 ,特别 是 当 网 络 负荷 不 是 很 重 时 ,节省 的 开销 更 加 可 观 。 但 查找 路 
由 会 引入 较 大 的 时 延 ,不 适用 于 时 延 敏感 型 应 用 。 

层次 路 由 协议 中 , 簇 内 成 员 的 功能 比较 简单 ,基本 上 不 需要 维护 路 由 ,这 大 大 减少 了 网 
络 中 路 由 控制 信息 的 数量 。 簇 头 节 点 功能 要 复杂 一 些 , 它 要 维护 好 到 达 其 他 簇 头 的 路 由 ,还 
要 知道 所 有 节点 与 簇 的 所 属 关 系 。 但 总 的 来 说 ,在 相同 网 络 规模 的 条 件 下 路 由 开销 要 比 平 
面 结构 的 小 。 如 果 簇 内 通信 的 信息 量 占 较 大 比例 时 ,各 簇 可 以 互 不 干扰 地 进行 通信 ,系统 的 
吞吐 量 显然 要 比 平面 结构 的 要 高 。 层 次 路 由 协议 的 最 大 优点 是 可 扩充 性 好 ,网 络 规模 不 受 
限制 。 必 要 时 可 以 通过 增加 艇 的 个 数 或 级 数 来 提高 网 络 的 容量 。 但 是 层次 路 由 也 有 它 的 缺 
点 。 首 先 ,维护 层次 路 由 需要 较 复 杂 的 簇 头 选择 算法 . 簇 头 选择 算法 需要 仔细 设计 。 其 次 ， 
徐 间 的 信息 都 要 经 过 簇 头 寻 路 ,不 一 定 能 使 用 最 佳 路 由 。 比 如 在 不 同 徐 中 但 互 为 邻居 的 节 
点 ,在 平面 结构 中 可 以 直接 通信 ,但 分 簇 后 要 通过 两 个 簇 的 簇 头 转交 。HSR (Hierachical 
State Routing)555 是 一 种 基于 复 头 的 多 层 链 路 状态 路 由 协议 。 它 不 仅 将 网 络 在 物理 上 划分 
为 一 个 个 区 域 , 而 且 将 网 络 逻辑 上 分 成 多 个 层次 , 低 一 层 的 簇 头 是 高 一 层 的 成 员 。 分 层 的 目 
标 是 减少 路 由 维护 的 信息 量 。CGSR(Clusterhead-Gateway Switch Routing) 9? 是 一 种 基于 
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复 头 的 两 层 距离 向 量 路 由 协议 。 整 个 网 络 节点 划分 为 许多 区 域 , 每 个 区 域 选 出 一 个 簇 头 , 簇 
头 负责 与 簇 内 节点 之 间 通 信 。 两 个 区 域 交界 的 节点 为 网 关节 点 ,其 负责 跨 区 域 报 文 转交 。 
整个 报 文 的 传送 协 过 程 为 : 源 节点 一 簇 头 一 网 关节 点 一 簇 头 一 网 关节 点 … 簇 头 一 目标 节 
点 。ZRP(Zone Routing Protocol)[ 当 是 一 个 分 层 路 由 协议 , 它 巧妙 地 结合 了 按 需 路 由 协议 
和 预先 路 由 协议 的 长 处 。ZRP 将 整个 网 络 分 成 若干 个 区 域 ,在 一 个 区 域内 的 路 由 操作 采用 
预先 路 由 方案 ,用 于 维护 区 域内 节点 可 达 性 的 完整 信息 。 在 区 域 之 间 使 用 按 需 路 由 。 

全 球 定 位 系统 (Global Positioning System,GPS) 技 术 的 迅速 发 展 , 使 得 定位 精度 可 达 
到 数 米 的 误差 范围 之 内 。 一 些 研 究 表明 ,在 地 理 位 置信 息 的 帮助 下 ,无 线 自 组 织 网 络 路 由 协 
议 的 性 能 可 以 得 到 明显 提高 。 下 面 介 绍 几 种 基于 位 置信 息 的 路 由 协议 。GeoCast 
(Geographic Addressing and Routing)59 协 议 中 ,通过 分 层 的 位 置 路 由 器 来 实现 其 报 文 的 
转发 。 当 源 节点 发 送 报 文 时 ,首先 看 其 目标 节点 是 否 在 本 区 域内 ,如 果 不 在 则 交 上 层 位 置 路 
由 器 ,以 此 类 推 , 直 到 转发 到 其 节点 所 在 区 域 位 置 路 由 器 ,再 由 位 置 路 由 器 发 给 区 域内 所 有 
节点 ,包括 目标 节点 。DREAM(Distance Routing Effect Algorithm for Mobility)?! J&— 4 
预先 路 由 协议 ,使 用 位 置信 息 确定 数据 分 组 的 泛 洪 方向 , 它 通过 给 控制 信息 设置 不 同 的 
TTL(Time To Live) 值 来 实现 所 谓 的 距离 效应 , 即 两 个 节点 相距 越 远 它们 的 相对 运动 似乎 
越 慢 , 从 而 减少 网 络 中 的 控制 信息 。LAR(Location Aided Routing)r 当 是 一 个 类 似 于 DSR 
的 随 选 型 路 由 协议 ,利用 位 置信 息 选 择 控 制 分 组 泛 洪 的 方向 ,提出 了 两 种 方案 一 一 创建 包含 
源 节点 的 请 求 区 域 以 及 利用 分 组 在 传输 过 程 中 离 目 的 节点 越 来 越 近 的 特点 。 

无 线 自 组 织 网 络 与 传统 网 络 的 重要 差别 之 一 是 其 节点 都 具有 移动 能 力 , 这 要 求 设备 尽 
量 小 型 化 ,而 且 需 要 节省 能 量 的 使 用 ,以 延长 节点 寿命 ,进而 延长 整个 网 络 的 寿命 。 路 由 协 
议 的 合理 设计 可 以 降低 能 量 的 消耗 。PARO5 协 议 利 用 增加 多 点 中 继 转 发 来 降低 传送 报 
文 的 能 量 消耗 。 长 距离 的 发 送 报 文 会 消耗 较 多 的 能 量 。 当 两 距离 较 远 的 节点 ALB 进行 通 
信 时 ,尽管 它们 都 在 相互 直接 通信 范围 之 内 ,PARO 会 在 节点 A、B 之 间 寻 找 一 些 中 继 节点 
进行 转发 ,缩短 单 跳 的 传输 距离 ,从 而 减少 整个 过 程 的 能 量 消耗 。PAMAS(Power Aware 
Multi-Access ProtocoD 中 提出 了 一 种 减少 能 量 消耗 的 信道 访问 协议 。 它 利用 了 下 述 无 线 
通信 的 特点 , 当 源 节点 与 目标 节点 进行 报 文 传输 过 程 中 ,周围 在 其 通信 影响 范围 内 的 节点 都 
只 能 被 动 收听 ,不 能 发 送 。 此 时 ,如 果 无 关节 点 将 其 电源 关 掉 ,将 会 节省 许多 能 源 。 按 照 上 
述 原理 ,PAMAS 提出 , 当 节 点 没有 报 文 发 送 时 ,而 信道 又 忙 时 , 它 应 关 掉 其 电源 到 报 文 发 送 
结束 。 当 节点 有 报 文 发 送 时 ,而 信道 又 被 占用 时 , 它 也 应 关 掉 其 电源 一 段 时 间 用 于 退 避 。 

本 节 较 全 面 地 回顾 了 无 线 自 组 织 网 络 相 关 的 各 种 路 由 协议 ,根据 不 同 的 策略 对 协议 进 
行 了 分 类 ,分 为 平面 路 由 协议 .层次 路 由 协议 、 位 置 路 由 协议 和 节点 能 源 路 由 协议 。 并 对 各 
种 类 型 的 协议 进行 了 分 析 和 比较 ,指出 了 各 自 的 特点 。 目 前 的 各 种 路 由 算法 各 有 其 长 处 和 
短处 ,各 有 其 适用 的 场合 ,没有 一 种 算法 能 适合 于 所 有 情况 。 


1.2.3 多 播 路 由 协议 


在 无 线 自 组 织 网 络 的 应 用 中 ,如 灾难 救助 .战场 指挥 临时 会 议 , 通 常 都 有 一 个 共同 的 需 
求 , 就 是 一 到 多 或 是 多 到 多 的 数据 传输 ,因此 ,多 播 路 由 协议 在 无 线 自 组 织 网 络 中 具有 非常 
重要 的 作用 。 近 几 年 ,研究 人 员 提出 了 一 些 能 适应 Ad hoc 环境 的 多 播 路 由 协议 ,这 些 协议 
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可 以 大 致 分 成 三 类 5 : 一 类 是 基于 树 (tree-based) 的 ,如 AMRIS“) ,MAODV5 LAMP! 、 
LGTC9 ,它们 在 源 和 接收 者 之 间 只 提供 一 条 路 由 ; 第 二 类 是 基于 格 网 (mesh-based) 的 ,如 
ODMRP'? ,CAMPU9 , FGMPC? ,它们 在 传输 数据 时 能 在 源 和 接收 者 之 间 提 供 多 条 路 由 ; 
第 三 类 是 混合 多 播 , 如 AMRoute?? ,MCEDARC" ,如 图 1-3 所 示 。 


AMRIS 


MAODV 


一 -| 基于 树 的 多 播 


LAM 


LGT 


移动 Ad hoc 网 络 
多 播 路 由 协议 — 基于 网 络 的 多 播 HH CAMP 


FGMP 


AMRoute 


混合 多 播 


MCEDAR, 


图 1-3 多 播 路 由 协议 分 类 


在 Ad hoc 环境 中 ,基于 树 的 多 播 协 议 来 源 于 有 线 网 络 多 播 协议 ,它们 通过 建立 多 播 共 
享 树 的 方法 来 实现 多 播 。 由 于 网 络 拓扑 结构 经 常会 发 生变 化 ,因此 基于 树 的 多 播 路 由 协议 
数据 递交 率 一 般 都 较 低 ,不 能 满足 应 用 的 需要 ,但 状态 维护 的 工作 量 较 少 。 而 基于 网 格 的 路 
由 协议 因为 能 提供 完 余 路 径 , 有 和 较 高 的 健壮 性 。 它 们 较为 适用 于 动态 的 拓扑 结构 ,分 组 递交 
率 一 般 都 较 高 ,但 状态 维护 的 工作 量 较 多 。 结 合 两 种 方法 ,形成 第 三 种 多 播 方 式 一 一 混合 多 
播 , 核 心 部 分 采用 网 格 方式 ,外 围 节点 采用 基于 树 的 方式 。 

在 这 些 多 播 路 由 协议 中 ,ODMRP 由 于 是 通过 源 节点 在 全 网 广播 控制 信息 来 建立 和 维 
护 路 由 的 。 因 而 , 当 源 节点 个 数 较 多 时 ,协议 将 产生 较 大 的 开销 ,这 一 特性 大 大 影响 了 协议 
的 可 扩展 性 。 为 了 减 小 这 种 广播 所 带 来 的 控制 开销 ,CAMP 使 用 了 核心 网 格 ,并 不 在 全 网 
泛 洪 ,模拟 结果 表明 它 的 可 扩展 性 好 于 ODRMP ,不 过 ,该 协议 依赖 于 底层 的 单 播 路 由 协议 。 

AMRoute 是 一 种 混合 多 播 协议 , 它 首先 建立 核心 网 格 ,然后 通过 核心 网 格 节点 去 建立 
多 播 树 。 当 网 络 拓扑 变化 时 ,只 要 网 格 节点 与 树 节点 之 间 还 存在 链 路 就 不 需要 对 多 播 树 进 
行 更 新 。 其 缺点 是 由 于 节点 的 移动 ,可 能 导致 路 由 环 路 和 非 优化 的 多 播 树 。 


1.2.4 ”服务 质量 保证 


无 线 自 组 织 网 络 一 方面 作为 一 种 自治 系统 ,有 自身 特殊 的 路 由 协议 和 网 络 管理 机 制 ; 
另 一 方面 作为 互联 网 在 无 线 和 移动 范畴 的 扩展 和 延伸 , 它 又 必须 能 够 提供 到 互联 网 的 无 缝 
的 接 入 机 制 。 当 前 互联 网 已 经 可 以 在 一 定 程度 上 保证 综合 业务 传输 的 服务 质量 (QoS)。 近 
年 来 随 着 多 媒体 应 用 的 普及 和 无 线 自 组 织 网 络 在 商业 应 用 的 进展 ,人 们 很 自然 地 会 产生 在 
Ad hoc 网 络 上 传送 综合 业务 的 需求 ,并 且 和 希望 能 像 固定 的 有 线 网 络 一 样 为 不 同业 务 的 服务 
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质量 提供 保障 。 因 此 无 线 自 组 织 网 络 对 QoS 保障 的 支持 显得 越 来 越 迫 切 和 重要 。 但 是 与 
固定 的 有 线 网 络 不 同 ,在 Ad hoc 网 络 中 提供 QoS 支持 将 面临 许多 不 同 于 传统 网 络 的 新 问 
题 和 挑战 。 

QoS 路 由 的 目的 是 为 应 用 服务 寻找 满足 其 QoS 要 求 . 具 有 足够 网 络 资源 的 “ 端 到 端 " 传 
输 路 径 。 由 于 存在 拓扑 结构 动态 变化 、 链 路 资源 时 变 、 节 点 资源 有 限 及 运动 形态 不 确定 等 问 
题 。Ad hoc 网 络 在 为 路 由 协议 提供 精确 的 链 路 状态 信息 ,为 路 由 计算 承担 所 需 的 大 量 资源 
开销 、 路 由 维护 等 方面 较为 困难 。 因 此 , QoS 路 由 技术 一 直 是 一 个 研究 热点 问题 ,也 是 
IETF 工作 组 关注 的 重点 。 与 传统 路 由 算法 的 分 类 方法 相似 QoS 路 由 通常 可 分 为 预先 式 路 
由 和 按 需 式 路 由 两 大 类 。 其 中 预先 式 QoS 路 由 协议 要 求 每 个 节点 维持 一 至 多 张 表 以 存储 
链 路 状态 信息 或 基本 路 由 信息 ,并 通过 广播 方式 进行 信息 更 新 。 当 需要 进行 QoS 路 由 计算 
时 , 源 节点 或 者 根据 信息 表 的 有 关内 容 按 QoS 参数 约束 直接 计算 出 所 需 的 可 行路 径 ,或 者 
确定 出 基本 路 由 策略 ,并 采用 部 分 洪 泛 机 制 发 送 带 有 QoS 参数 要 求 的 路 由 请 求 分 组 ,由 中 
间 节 点 根据 其 信息 表 的 有 关内 容 分 布 式 完成 寻 路 工作 。 相 关 的 预先 式 QoS 路 由 协议 有 
CEDAR? .TBPG9 .基于 带宽 的 QoS 路 由 协议 9 等 。 按 需 式 QoS 路 由 协议 指 当 有 分 组 传 
送 需 求 时 才 进 行 QoS 路 由 计算 的 寻 路 方式 。 开 始 传 送 业 务 分 组 前 , 源 节点 触发 一 个 路 由 寻 
找 进程 ,通常 采用 洪 泛 机 制 发 送 路 由 请 求 分 组 ,并 由 中 间 节 点 根据 其 接口 的 基本 信息 和 
QoS 参数 要 求 分 布 式 完成 路 由 寻找 工作 。 相 关 的 按 需 式 QoS 路 由 协议 有 AODV 扩展 QoS 
路 由 协议 四、R，Lin 的 按 需 QoS 路 由 协议 9 等 。 

预先 式 QoS 路 由 协议 对 网 络 状态 信息 维护 和 更 新 有 较 高 的 要 求 ,并 由 此 造成 有 限 网 络 
资源 的 巨大 浪费 ,而 按 需 驱动 式 QoS 路 由 协议 ,由 业务 需求 激发 往往 造成 实时 业务 分 组 传 
输 的 延迟 和 停顿 。 因 此 近年 来 这 两 类 QoS 路 由 协议 正 逐渐 走向 融合 。 将 MAC 层 的 多 址 
技术 和 网 络 层 路 由 技术 相 结合 ,通过 资源 预 留 来 满足 QoS 寻 路 要 求 ,正成 为 QoS 路 由 技术 
研究 领域 的 新 思路 。 此 外 ,多 通道 路 由 多 播 .路 由 自 适应 服务 优先 QoS 路 由 、 功 率 路 由 、 辅 
助 位 置 路 由 等 也 将 是 QoS 路 由 技术 未 来 的 研究 方向 。 


1.2.5 网 络 管理 


在 任何 网 络 的 建设 中 ,控制 网 络 、 使 网 络 具有 最 高 效率 和 可 靠 工 作 , 网 络 管理 将 是 一 个 
必须 内 容 ,这 一 过 程 通常 包括 数据 收集 ,数据 处 理 、 数 据 分 析 和 网 管 动作 等 。 为 了 实现 对 网 
络 的 控制 和 管理 ,OSI 将 网 络 管理 划分 为 五 大 功能 域 ,这 就 是 我 们 通常 所 说 的 配置 管理 、 性 
能 管理 ,安全 管理 、 计 费 管理 和 故障 管理 .然而 由 于 Ad hoc 网 络 的 特性 决定 了 管理 上 比 有 线 
网 络 复杂 许多 ,因为 网 络 拓 扑 的 动态 变化 ,要 求 网 络 管理 也 是 动态 自动 配置 。 而 且 要 考虑 到 
移动 节点 本 身 的 限制 ,例如 能 源 有 限 、 链 路 状态 变化 和 有 限 的 存储 能 力 等 ,因此 ,要 将 管理 协 
议 给 整个 网 络 带 来 的 负荷 考虑 在 内 。 最 后 还 要 考虑 到 网 络 管理 对 不 同 环境 的 适用 性 等 。 

现 阶段 ,就 无 线 自 组 织 网 络 的 管理 研究 刚刚 处 于 起 步 , 由 于 网 络 特性 排斥 集中 和 完全 分 
布 的 管理 体系 ,因此 考虑 到 网 络 信息 开销 和 节点 的 移动 性 ,一 种 作为 最 好 折 中 的 三 级 层次 结 
构成 为 首选 ,最 后 一 级 由 被 称 为 代理 (agent) 的 被 管 节点 组 成 ,许多 互相 邻近 的 代理 集结 成 
ff Cluster. Hi 5 — t 9E PR Jf H6. Cluster head 的 节点 来 管理 ,而 簇 首 又 由 被 称 为 网 络 管理 
者 Manager 的 节点 来 管理 G7 。 
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1.2.6 网络 安全 


与 固定 有 线 网 络 相 比 ,无 线 自 组 织 网 络 面临 更 多 的 安全 威胁 。 在 固定 网 络 中 ,入 侵 者 需 
搭 接 电缆 才能 偷 听 ,需要 寻找 防火 墙 或 网 关 的 漏洞 才能 访问 内 部 资源 。 但 对 于 无 线 自 组 织 
网 络 ,无 线 信道 使 得 窃听 随处 可 在 ,节点 的 移动 性 使 得 防火 墙 无 法 应 用 。 无 线 自 组 织 网 络 比 
固定 网 络 更 容易 遭受 各 种 安全 的 威胁 ,如 穷 听 ,伪造 身份 重 放 、 自 改 报 文 和 拒绝 服务 等 。 因 
此 ,无 线 自 组 织 网 络 更 需要 安全 的 保障 。 


1.3 无 线 自 组 织 网 络 的 研究 机 构 及 研究 方向 


目前 ,无 线 自 组 织 网 络 是 网 络 和 通信 方面 一 个 重要 的 研究 方向 ,许多 大 学 和 研究 机 构 都 
建立 相关 的 研究 组 和 实验 室 对 无 线 自 组 织 网 络 进行 研究 。 

1996 年 IETF 成 立 了 MANET 工作 组 9 ,目前 的 核心 任务 是 设计 无 线 自 组 织 网 络 的 
路 由 协议 和 进行 协议 标准 化 工作 。MANET 工作 组 已 经 提出 了 许多 协议 草案 , 如: 
DSR") , AODVO8? .OLSRC , TBRPFÜ?  , 

Columbia 大 学 的 INSIGNIA Jii H 59 ,对 无 线 自 组 织 网 络 环境 下 支持 QoS 路 由 的 框架 
进行 了 设计 、 实 现 和 评估 。 主 要 研究 方向 为 无 线 自 组织 网 络 路 由 的 QoS 保障 。 

Rice 大 学 的 Monarch 项 目 组 [9 对 移动 网 络 通信 架构 进行 研究 ,其 目标 是 使 移动 节点 
在 任何 时 间 、 任 何 地 点 与 移动 节点 、 固 定 节点 进行 无 颖 的 通信 。 研 究 范围 包括 : 无 线 自 组 织 
网 络 路 由 协议 的 设计 与 实现 ,性 能 评估 、 服 务 质量 保证 、 安 全 协议 、 多 播 等 。 

Cornell 大 学 的 无 线 网 络 实验 室 (Wireless Network Lab)59 致 力 于 无 线 通信 协议 .算法 
的 研究 。 在 无 线 自 组 织 网 络 方向 ,其 研究 范围 包括 : 路 由 协议 ,资源 管理 .MAC 层 协议 、 
QoS 安全 算法 等 。 

Maryland 大 学 的 移动 计算 与 多 媒体 实验 室 (The Mobile Computing and Multimedia 
Laboratory)55 ,研究 移动 计算 和 多 媒体 系统 。 其 研究 范围 包括 无 线 自 组 织 网 络 的 路 由 协 
议 .QoS 等 。 

Stanford 大 学 的 移动 计算 研究 组 (The Mobile Computing Group)") ,其 研究 方向 为 无 
线 自 组 织 网 络 节点 之 间 增 强 合作 的 算法 。 

加 州 大 学 洛杉矶 分 校 (UCLA) 的 无 线 自 适应 移动 实验 室 (Wireless Adaptive Mobility 
Laboratory)? ,其 研究 重点 为 : 无 线 自 组 织 网 络 环境 下 协议 的 设计 、 实 现 和 性 能 测试 。 网 
络 模拟 实验 平台 的 研究 与 设计 。 

Illinois 大 学 的 移动 环境 实验 室 (The Illinois Mobile Environments Laboratory) , %& 
力 于 无 线 网 络 ,特别 是 无 线 自 组 织 网 络 QoS 的 系统 架构 、 协 议和 中 间 件 的 研究 。 

Rutgers 大 学 的 无 线 信 息 网 络 实验 室 (Wireless Information Network Laboratory)", 
研究 方向 为 无 线 自 组 织 网 络 路 由 安全 协议 。 

瑞士 联邦 支持 的 Terminode 项 目 59 , 旨 在 研究 和 模拟 大 规模 、 自 组 织 的 无 线 自 组 织 网 
络 , 其 研究 领域 包括 从 物理 导 到 应 用 层 的 所 有 层面 ,以 层 间 的 相互 作用 ,如 路 由 算法 、 移 动 性 
管理 .节点 相互 协作 的 激励 机 制 和 安全 策略 等 。 

加 州 大 学 圣 芭 芭 拉 分 校 (UCSB) 的 移动 管理 与 网 络 实验 室 (Mobility Management and 
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Networking Laboratory) 7 ,研究 方向 为 路 由 协议 、 多 播 .QoS 协议 等 。 
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第 2 章 无 线 自 组 织 网 络 安全 的 
研究 进展 


摘要 : 无 线 自 组 织 网 络 是 一 种 完全 由 移动 主机 构成 的 网 络 ,其 主要 特点 
为 网 络 拓扑 易 变 ,带宽 ,能源 有 限 。 这 些 特点 对 于 无 线 自 组 织 网 络 安全 的 设 
计 与 实现 提出 了 巨大 的 挑战 。 本 章 介绍 了 无 线 自 组 织 网 络 安全 研究 的 最 新 
研究 进展 ,分 为 密 钥 管理 .路 由 安全 、 入 侵 检测 、 增 强 合作 几 个 方面 ,对 一 些 典 
型 方案 进行 了 说 明 , 分 析 了 各 种 方案 的 优点 和 缺点 ,并 进行 了 综合 比较 。 文 
中 分 析 了 目前 协议 存在 的 一 些 问 题 并 提出 了 相应 的 改进 方法 ,最 后 指出 了 下 
一 步 研究 方向 。 

关键 字 : 计算 机 网 络 、 信 息 安 全 、 综 述 、 无 线 自 组 织 网 络 、 密 钥 管 理 、 路 由 
安全 、 入 侵 检测 、 增 强 合作 。 


无 线 自 组 织 网 络 作为 一 种 新 型 的 移动 多 跳 无 线 网 络 ,与 传统 的 无 线 网 络 
有 很 大 不 同 , 它 不 依赖 于 任何 固定 的 基础 设施 和 管理 中 心 ,而 是 通过 传输 范 
围 有 限 的 移动 节点 间 的 相互 协作 和 自我 组 织 来 保持 网 络 连接 和 实现 数据 的 
传递 。 无 线 自 组 织 网 络 的 独特 的 结构 ,从 而 产生 下 列 一 些 突出 的 特点 口 。 

(1) 动态 的 拓扑 结构 : 节点 可 在 网 络 中 任意 移动 ,随时 加 入 和 退出 网 络 。 

(2) 有 限 的 资源 : 无 线 通信 带宽 有 限 ,移动 节点 的 能 源 也 有 限 。 

(3) 多 跳 的 通信 : 无 线 节点 发 射 功率 有 限 ,发 送 报 文 到 接收 区 域外 的 节 
点 时 ,需要 其 他 节点 来 中 转 信 息 。 因 此 ,任意 一 个 节点 既是 主机 又 是 路 由 器 。 

(4) 脆弱 的 网 络 安全 : 由 网 络 的 自 组 织 性 、 节 点 的 移动 性 和 无 线 通信 信 
道 , 使 得 无 线 自 组 织 网 络 更 容易 遭受 各 种 攻击 ,其 安全 问题 更 加 严峻 。 

无 线 自 组 织 网 络 最 初 用 于 军事 领域 ,如 战场 上 坦克 之 间 和 海面 上 舰艇 之 
间 的 组 网 ,但 是 由 于 其 建 网 方式 灵活 配置 快捷 方便 ,构造 成 本 较 低 等 优势 ， 
它 逐 渐 运 用 于 商业 和 民用 环境 之 中 ,如 会 议 数据 交换 、 紧 急 援 救 、 偏 远 地 区 等 
一 些 需 要 临时 组 网 的 应 用 中 。 

与 固定 有 线 网 络 相 比 ,无 线 自 组 织 网 络 面临 更 多 的 安全 威胁 。 在 固定 网 
络 中 ,窃听 者 需 搭 接 电缆 才能 偷 听 , 需 要 寻找 防火 墙 或 网 关 的 漏洞 才能 访问 
内 部 资源 。 但 对 于 无 线 自 组 织 网 络 , 无 线 信道 使 得 窃听 随处 可 在 ,节点 的 移 
动 性 使 得 敌我 双方 无 边界 ,防火 墙 无 法 应 用 。 因 此 ,无 线 自 组 织 网 络 比 固定 
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网 络 更 容易 遭受 各 种 安全 的 威胁 ,如 窃听 、 伪 造 身 份 . 重 放 、 复 改 报 文 和 拒绝 服务 等 。 

本 章 首先 分 析 了 无 线 自 组 织 网 络 的 安全 弱点 和 安全 目标 ,然后 综述 了 现行 的 各 种 解 
决 方法 ,并 指出 了 各 种 方案 的 优点 和 缺点 。 本 章 安排 如 下 : 2. 2 节 介 绍 安全 弱点 ,主要 分 
析 由 无 线 自 组 织 网 络 独特 的 结构 所 造成 在 安全 方面 的 弱点 及 安全 所 要 求 达 到 的 目标 。 
2.3 节 密 钥 管 理 , 论 述 了 在 无 线 自 组 织 网 络 环境 下 如 何 实现 密 钥 的 分 配 与 管理 。2. 4 节 
路 由 的 安全 ,首先 分 析 路 由 协议 的 威胁 ,其 次 介绍 几 种 典型 的 路 由 安全 方案 。2. 5 节 讨 论 
入 侵 检测 ,介绍 了 入 侵 检测 的 系统 结构 和 检测 模式 。2. 6 节 增 强 节 点 合作 ,介绍 了 两 种 促 
使 节点 参与 网 络 交换 的 机 制 。2. 7 节 总 结 和 展望 ,对 全 文 进行 了 总 结 ,提出 了 下 一 个 研究 
方向 。 


2.2 无 线 自 组 织 网 络 的 安全 弱点 和 安全 目标 


2.2.1 安全 弱点 


传统 网 络 中 ,主机 之 间 的 连接 是 固定 的 ,网 络 采 用 层次 化 的 体系 结构 ,并 具有 稳定 的 拓 
扑 。 传 统 网 络 提 供 了 多 种 服务 以 充分 利用 网 络 的 现 有 资源 ,包括 路 由 器 服务 、 命 名 服务 、 目 
录 服 务 等 ,并 且 在 此 基础 上 实现 了 相关 的 安全 策略 ,如 加 密 、 认 证 ,访问 控制 和 权限 管理 、 防 
火 墙 等 。 而 在 无 线 自 组 织 网 络 中 没有 基站 或 中 心 节点 ,所 有 节点 都 是 移动 的 ,网 络 的 拓扑 结 
构 动 态 变 化 。 并 且 节 点 间 通 过 无 线 信 道 相连 ,没有 专门 的 路 由 器 ,节点 自身 同时 需要 充当 路 
由 器 ,也 没有 命名 服务 、 目 录 服 务 等 网 络 功能 。 两 者 的 区 别 导致 了 在 传统 网 络 中 能 够 较 好 工 
作 的 安全 机 制 不 再 适用 于 无 线 自 组 织 网 络 ,主要 表现 在 以 下 几 个 方面 。 

1. 传输 信道 方面 

无 线 自 组 织 网 络 采用 无 线 信号 作为 传输 媒介 ,其 信息 在 空中 传输 ,无 需 像 有 线 网 络 一 
样 ,要 切割 通信 电缆 并 搭 接 才能 偷 听 ,任何 人 都 可 接收 ,所 以 容易 被 敌 方 窍 听 。 无 线 信 道 又 
容易 遭受 敌 方 的 干扰 与 注入 假 报 文 。 

2. 移动 节点 方面 

因为 节点 是 自主 移动 的 ,不 像 固定 网 络 节点 可 以 放 在 安全 的 房间 内 ,特别 是 当 无 线 自 组 
织 网 络 布置 于 战场 时 ,其 节点 本 身 的 安全 性 是 十 分 脆弱 的 。 节 点 移动 时 可 能 落 入 敌手 而 投 
降 , 节 点 内 的 密 钥 、 报 文 等 信息 都 会 被 破获 ,投降 后 的 节点 又 可 能 以 正常 的 面目 重新 加 入 网 
络 , 用 来 获取 秘密 和 破坏 网 络 的 正常 功能 。 因 此 ,无 线 自 组 织 网 络 不 仅 要 防范 外 部 的 入 侵 ， 
而 且 要 对 付 内 部 投降 节点 的 攻击 。 

3. 动态 的 拓扑 

无 线 自 组 织 网 络 中 节点 的 位 置 是 不 固定 的 ,可 随时 移动 ,造成 网 络 的 拓扑 不 断 变化 。 
一 条 正确 的 路 由 可 能 由 于 目的 节点 移动 到 通信 范围 之 外 而 不 可 达 , 也 可 能 由 于 路 由 途经 
的 中 间 节 点 移 走 而 中 断 。 因 此 ,难于 区 别 一 条 错误 的 路 由 是 因为 节点 是 移动 造成 的 还 是 
虚假 路 由 信息 形成 的 。 由 于 节点 的 移动 性 ,在 某 处 被 识别 的 恶意 节点 移动 到 新 的 地 点 ， 
改变 标识 后 , 它 可 重新 加 入 网 络 。 另 外 由 于 动态 的 拓扑 ,网 络 没 有 边界 ,防火 墙 也 无 法 
应 用 。 
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4. 安全 机 制 方面 

在 传统 的 公 钥 密码 体制 中 ,用 户 采用 加 密 、 数 字 签名 、 报 文 鉴别 码 等 技术 来 实现 信息 的 
机 密 性 、 完 整 性 \ 不 可 抵赖 性 等 安全 服务 。 然 而 它 需 要 一 个 信任 的 认证 中 心 来 提供 密 钥 管 理 
服务 。 但 在 无 线 自 组 织 网 络 中 不 允许 存在 单一 的 认证 中 心 ,否则 不 仅 单个 认证 中 心 的 骨 溃 
将 会 造成 整个 网 络 无 法 获得 认证 ,而 且 更 为 严重 的 是 ,被 攻破 认证 中 心 的 私 钥 可 能 会 汇 
露 给 攻击 者 ,攻击 者 可 以 使 用 其 私 钥 来 签发 错误 的 证 书 , 假 置 网 络 中 任意 一 个 移动 节点 ， 
或 废除 所 有 合法 的 证 书 , 致 使 网 络 完全 失去 了 安全 性 。 若 通过 备份 认证 中 心 的 方法 虽然 
提高 了 抗 毁 性 ,但 也 增加 了 被 攻击 的 目标 ,任意 一 个 认证 中 心 被 攻破 , 则 整个 网 络 就 失去 
了 安全 性 。 

5. 路 由 协议 方面 

路 由 协议 的 实现 也 是 一 个 安全 的 弱点 ,路 由 算法 都 假定 网 络 中 所 有 节点 是 相互 合作 的 ， 
共同 去 完成 网 络 信息 的 传递 。 如 果 某 些 节点 为 节省 本 身 的 资源 而 停止 转发 数据 ,这 就 会 影 
响 整 个 网 络 性 能 。 更 可 怕 的 是 投降 节点 和 参与 到 网 络 中 的 恶意 节点 专门 广播 假 的 路 由 信 
息 ,或 故意 散布 大 量 的 无 用 数据 包 , 从 而 导致 整个 网 络 的 崩溃 。 


2.2.2 安全 目标 


1. 机 密 性 

机 密 性 是 保证 相关 的 信息 不 会 泄露 给 未 授权 的 用 户 和 实体 ,通常 采用 加 密 的 方法 来 实 
现 。 由 于 无 线 自 组 织 网 络 采 用 的 是 无 线 信道 ,更 容易 受到 窃听 攻击 ,所 以 在 网 络 上 传输 的 敏 
感 信息 ,必须 机 密 可 靠 ,否则 这 些 信息 被 敌 方 破获 ,后 果 将 不 堪 设 想 。 

2. 完整 性 

完整 性 用 于 保证 信息 在 传输 过 程 中 不 被 自 改 ,确保 收 到 的 消息 与 发 送 的 消息 一 样 ,没有 
元 余 、 插 入 修改。 通常 采用 报 文摘 要 或 散 列 算法 来 实现 。 对 路 由 信息 的 恶意 算 改 会 造成 回 
路 .网 络 分 裂 , 所 以 也 需 进 行 完整 性 保护 。 

3. 安全 认证 

使 每 个 节点 能 够 确认 与 其 通信 的 节点 的 身份 。 如 果 没 有 认证 ,攻击 者 就 可 以 假冒 网 络 
中 的 节点 来 与 其 他 节点 进行 通信 ,并 可 以 获得 那些 未 被 授权 的 资源 和 敏感 信息 ,并 以 此 威胁 
整个 网 络 的 安全 。 

4. 不 可 抵赖 

不 可 抵赖 是 防止 发 送 方 抵赖 所 传输 的 消息 。 因 此 , 当 发 送 一 个 报 文 时 ,接收 方 能 够 证 实 
该 消息 确实 是 由 所 宣称 的 发 送 方 发 送 的 。 这 可 用 来 发 现 和 孤立 恶意 节点 。 

5. 可 用 性 

可 用 性 确保 网 络 节点 在 受到 各 种 网 络 攻击 时 仍然 能 够 提供 相应 的 服务 。 在 Ad hoc 网 
络 中 拒绝 服务 攻击 可 以 在 各 个 协议 层 进行 ,在 物理 层 和 链 路 层 , 攻 击 者 可 以 通过 无 线 干扰 来 
扰乱 通信 信道 ,在 网 络 层 ,攻击 者 可 以 破坏 路 由 信息 ,使 网 络 无 法 互联 ,在 高 层 , 攻 击 者 可 以 
通过 伪造 各 种 应 用 使 高 层 服 务 关 乱 。 
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2.3 BARE 


由 于 无 线 自 组 织 网 络 具有 自 组 织 和 动态 拓扑 的 特性 ,使 得 在 固定 网 络 中 常用 的 密 钥 管 
理 手段 无 法 在 Ad hoc 网 络 中 应 用 ,例如 : Certification Authority CA) 3X Key Distribution 
Center(KDC) 就 无 法 在 无 线 自 组 织 网 络 应 用 ,使 用 这 些 设施 其 一 容易 导致 单 点 失败 和 拒绝 
服务 , 即 该 设施 由 于 敌 方 攻击 而 失灵 了 ,整个 网 络 就 不 能 正常 运转 了 ; 其 二 由 于 无 线 多 跳 通 
信 误 码 率 高 和 网 络 拓扑 动态 变化 ,会 大 大 降低 服务 的 成 功率 ,延长 服务 时 间 ; 其 三 ,容易 导 
致 网 络 拥塞 ,本 来 就 不 充足 的 传输 带宽 ,网 络 中 各 节点 还 都 要 到 该 节点 去 认证 。 文 献 [2] 模 
拟 试验 了 集中 认证 、 分 布 认证 ,本 地 认证 三 种 方法 的 可 扩展 性 、 健 壮 性 和 有 效 性 ,集中 认证 性 
能 最 差 ,特别 当 网 络 节点 数量 增加 、 网 络 负载 上 升 时 ,集中 认证 的 性 能 急剧 下 降 。 当 网 络 节 
点 数量 由 40 增加 到 100 时 ,集中 认证 成 功率 由 92% 降 到 22% ,本 地 认证 保持 在 96%, 当 网 
络 负 载 由 0 增 至 100 包 / 秒 (每 包 512 字 节 ) 时 ,集中 认证 成 功率 由 80% 降 到 45% ,本 地 认证 
保持 在 95%, 当 信道 误 码 率 从 0 增 至 10% 时 ,集中 认证 成 功率 由 80% 降 到 50%, 本 地 认证 
保持 在 93%。 通 过 实验 证 实 了 CA 的 方法 在 无 线 自 组 织 网 络 中 无 法 应 用 ,但 是 近来 提出 的 
许多 Ad hoc 路 由 安全 协议 ,如 Ariadne? ,SRP 中 等 ,都 要 求 事先 存在 或 预先 分 配 共 享 密 钥 
或 公开 密 钥 ,这 就 要 求 提供 适应 于 无 线 自 组 织 网 络 的 密 钥 管理 手段 。 下 面 首先 介绍 两 种 具 
有 代表 性 的 密 钥 管 理 方案 ,其 次 介绍 其 他 几 种 解决 的 方案 。 


2.3.1 自 组 织 的 密 钥 管理 


该 算法 在 文献 [5] 中 首先 提出 并 进行 了 概要 介绍 ,在 文献 [6] 中 进行 了 详细 论述 。 该 算 
法 不 需要 公认 的 CA 来 发 布 证 书 ,节点 自己 发 布 并 维护 证 书 ,类 似 于 PGP 算法 ,用 户 根据 
需求 拥有 对 方 的 证 书 来 进行 认证 。 与 PGP 算法 不 同 的 是 ,用 户 证 书 是 分 布 存储 于 每 个 用 户 
自身 而 不 是 存储 于 认证 服务 器 之 中 。 在 该 算法 中 ,每 个 用 户 在 本 地 维护 一 个 证 书 数据 库 , 当 
两 个 用 户 需要 相互 认证 时 ,他 们 合并 他 们 各 自 拥有 的 证 书 数据 库 形成 一 张 认 证 路 径 图 ,并 努 
力 从 该 图 中 发 现 一 条 认证 链 路 。 如 果 发 现 一 条 认证 路 径 , 则 认证 成 功 ,否则 认证 失败 。 
图 2-1 显示 合并 节点 w 和 节点 v 的 证 书 数据 库 形成 的 认证 图 ,并 找到 一 条 从 节点 到 节点 v 
的 认证 路 径 。 


zw 的 认证 子 图 
一 一 一 v 的 认证 子 图 
= 从 wu 到 v 的 认证 路 径 


图 2-1 从 节点 到 节点 wv 的 认证 图 
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认证 的 成 功 取决 于 用 户 本 地 证 书 数据 库 的 构成 方式 和 认证 路 径 图 的 特性 。 所 谓 认证 路 
径 图 就 是 一 张 节点 代表 用 户 的 公 钥 , 边 代表 用 户 颁发 的 公 钥 证 书 的 用 于 节点 认证 的 有 向 图 。 
在 文章 中 作者 提出 了 几 种 用 户 证 书 数据 库 的 构成 算法 并 分 析 了 它们 各 自在 认证 中 表现 出 的 
性 能 。 一 种 是 最 多 认证 算法 ,每 个 用 户 从 整个 认证 图 中 选择 几 条 路 径 构成 自己 的 本 地 证 书 
数据 库 , 每 条 路 径 都 以 用 户 为 起 始点 ,并 且 这 几 条 路 径 上 的 节点 最 多 , 即 能 够 认证 的 节点 最 
多 。 另 一 种 是 最 短 认证 算法 ,构成 方法 是 选择 到 某 节点 最 短 的 认证 路 径 。 对 两 种 算法 的 分 
析 表 明和 模拟 试验 表明 ,即使 本 地 证 书 数据 库 小 到 只 有 v7 为 全 部 用 户 数目 ) 时 ,任何 两 个 
用 户 仍 有 90% 的 概率 找到 一 条 相互 认证 的 路 径 。 

本 算法 的 优点 在 于 完全 不 需要 CA 来 发 布 和 维护 证 书 ,防止 了 单 点 失败 。 缺 点 有 三 点 ， 
其 一 ,由 于 没有 CA 来 验证 身份 ,任何 能 发 布 证 书 的 节点 均 能 加 入 网 络 ,恶意 节点 可 项 蔡 沿 
未 进入 网 络 的 节点 或 编造 节点 标识 发 布 证 书 加 入 网 络 。 甚 二 因为 节点 存储 证 书信 息 不 完 
全 ,不 能 保证 100% 认 证 ,其 认证 成 功率 与 证 书 数据 库 形成 密切 相关 。 其 三 算法 的 扩展 性 不 
好 , 当 网 络 扩大 时 ,证 书 数据 库 的 形成 .维护 和 认证 的 花费 会 急骤 增加 。 


2.3.2 分 布 式 的 密 钥 管理 


Lidong Zhou 和 Zygmunt J. Haas 提出 一 种 基于 门限 密码 理论 外 ,实现 分 布 式 的 CA 来 
进行 密 钥 管理 的 算法 中。 所 谓 nc 门限 密码 , 即 n 个 具有 密码 学 操作 (如 数字 签名 ) 能 力 的 实 
体 , 其 中 任意 1 个 实体 联合 起 来 即 可 完成 该 项 操作 ,而 任意 小 于 1 个 的 实体 不 能 执行 该 操 
TE. CA 的 系统 公 钥 为 每 个 节点 所 知 , 用 来 校 验证 书 ,系统 私 钥 用 来 签发 证 书 。 该 算法 利用 
门限 密码 的 特点 ,网 络 初始 化 时 ,由 集中 的 CA 将 网 络 系统 私 钥 分 为 nn 份 ,指定 nn 个 节点 拥 
有 ,这 个 节点 就 充当 了 分 布 式 的 CA。 当 需要 CA 来 发 布 证 书 时 ,这 个 节点 中 的 任意 7 
个 合作 生成 一 份 有 效 的 证 书 。 当 新 节点 加 入 网 络 时 ,就 可 向 这 个 节点 中 的 任意 7 个 节点 
提出 证 书 申请 ,每 个 节点 返回 部 分 签名 证 书 , 合 起 来 就 形成 了 一 份 完整 的 证 书 。 为 了 防止 移 
动 攻击 者 (mobile adversaries) 9! 攻击, 即 敌 方 攻破 一 个 节点 后 转向 下 个 节点 ,这 样 经 过 一 
段 时 间 后 会 攻破 很 多 节点 ,其 至 达到 1 节点 ,采取 共享 更 新 算法 , 即 从 老 的 n 份 私 钥 中 生成 
新 的 n 份 私 钥 。 因 为 新 的 私 钥 独立 于 老 私 钥 , 所 以 只 要 更 新 周期 合适 ,就 能 对 抗 mobile 
adversaries 攻击 。 该 算法 的 优点 是 将 单一 的 CA 服务 分 散 到 个 节点 中 去 ,防止 了 单 点 失 
败 , 提 高 了 网 络 的 健壮 性 ,只 要 被 攻陷 节点 少 于 :个 ,整个 网 络 仍然 是 安全 的 。 缺 点 是 增加 
了 网 络 传输 负载 和 延长 了 服务 时 间 ,因为 在 集中 式 的 CA 中 ,节点 只 需 与 一 个 CA 联系 返回 
一 份 证 书 , 而 分 布 式 CA ,节点 需要 到 :个 持 有 系统 私 钥 的 节点 去 申请 ,返回 c 份 证 书 , 而 这 
些 节点 可 能 遍布 于 网 络 各 处 ,需要 多 跳 通 信 才 能 达到 ,只 有 与 这 : 个 节点 都 成 功 通信 时 , 才 
能 完成 。 

Jiejun Kong 等 人 提出 了 一 个 类 似 的 方案 5 ,改进 了 上 述 方案 的 缺点 。 网 络 系统 初始 
化 时 ,由 集中 的 CA 将 系统 私 钥 分 为 1 份 授权 给 1 个 节点 ,然后 由 这 上 个 节点 联合 起 来 继续 
将 私 钥 授 予 网 络 中 其 余 各 节点 。 这 样 ,系统 私 钥 不 只 分 为 nn 份 由 个 节点 持 有 ,而 是 网 络 中 
每 个 节点 都 持 有 一 份 系统 私 钥 。 节 点 加 入 网 络 时 ,只 要 向 周围 1 个 邻居 节点 提出 申请 , 即 可 
获得 证 书 。 该 方案 提高 可 用 性 ,降低 了 网 络 负载 。 该 方案 还 具有 扩展 性 ,无 论 网 络 扩大 或 缩 
小 都 可 适用 。 文 献 L[12] 提 出 的 方案 与 文献 [11] 基 本 相同 ,只 是 增加 了 邻居 监视 功能 ,每 个 节 
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点 的 周围 的 邻居 不 仅 联合 颁发 证 书 , 而 且 负 责 监 视 其 的 行为 。 如 果 该 节点 有 恶意 行为 ,证 书 
到 期 后 将 不 能 申请 到 证 书 。 

Aram Khalili 等 人 提出 了 一 种 基于 用 户 标识 的 门限 密码 管理 算法 5 , 它 将 用 户 标识 作 
为 节点 的 公 钥 ,节点 的 私 钥 由 上 个 持 有 系统 私 钥 的 节点 联合 签发 。 它 的 优点 在 于 节点 不 再 
需要 分 发 公 钥 ,进一步 降低 了 网 络 负载 和 节点 计算 量 。 上 述 方案 有 个 共同 的 弱点 ,无 法 对 抗 
Sybil 攻击 529 , 即 攻击 者 利用 尽 可 能 多 的 节点 标识 来 获得 私 钥 共享 份 数 ,最 终 可 以 重建 系统 
TA. 


2.3.3 ”两 种 密 钥 管 理 方案 的 比较 和 分 析 


分 布 式 和 自 组 织 的 密 钥 管理 是 较为 典型 的 两 种 密 钥 管 理 方案 , 表 2-1 对 这 两 种 方案 进 
行 了 比较 。 上 述 各 种 密 钥 管 理 方案 都 考虑 到 无 线 自 组 织 网 络 自 组 织 无 中 心 的 特点 ,设计 上 
采取 各 种 方法 代替 集中 的 CA, 如 采用 分 布 式 的 CA、 自 组 织 的 方法 ,但 同时 也 导致 了 一 些 
缺陷 。 

表 2-1 分 布 式 密 钥 管理 与 自 组 织 密 钥 管理 的 比较 
算法 分 类 分 布 式 的 密 钥 管理 自 组 织 的 密 钥 管理 


理论 基础 | 门限 密码 PGP 技术 
信任 实体 生成 系统 公 钥 和 私 钥 , 将 公 钥 发 送 给 所 | 各 节点 通过 证 书 交换 ,形成 本 地 证 书 


mee 有 节点 ,将 私 钥 分 为 n HEF n 个 节点 持 有 数据 库 
证 书 管理 | ?个 持 有 系统 私 钥 的 节点 中 上 个 联合 颁发 并 管理 | 由 节点 自己 生成 并 管理 
认证 方式 | 通过 系统 公 钥 校 验 节点 的 证 书 通过 证 书 链 
优势 防止 了 单 点 失败 防止 了 单 点 失败 
会 
Ad 增加 了 计算 负载 和 网 络 流量 攻击 者 可 假冒 合法 节点 发 布 证 书 加 入 


网 络 .算法 的 扩展 性 不 好 


密 钥 管理 方案 存在 问题 及 改进 方法 : 

(1) 在 分 布 式 的 密 钥 管理 中 ,将 集中 的 CA 分 配 到 个 节点 中 去 ,由 个 节点 中 的 & 个 
节点 合作 签发 证 书 。 节 点 必须 与 上 个 节点 都 建立 通信 并 成 功 申请 到 k 份 证 书 才能 合成 一 份 
有 效 的 证 书 。 这 & 个 节点 可 能 分 布 在 网 络 各 处 ,需要 多 跳 通 信 才 能 到 达 。 如 果 与 个 节点 
中 任意 一 个 节点 通信 失败 或 返回 证 书 有 误 , 则 无 法 合成 证 书 ,整个 申请 失败 ,必须 再 找 & 个 
节点 重新 开始 申请 。 从 上 述 过 程 可 以 看 出 ,分 布 式 的 CA 虽然 防止 了 单 点 失败 ,但 也 增加 了 
网 络 负载 ,延长 了 服务 时 间 ,降低 了 申请 证 书 的 成 功率 。 解 决 该 问题 的 方法 有 两 种 ,一 种 是 
减少 节点 需要 申请 证 书 的 数目 &。 极 端 情况 下 k 二 1, 任 何 一 个 拥有 系统 私 钥 的 节点 均 可 签 
证 书 。 这 样 就 减少 了 需要 建立 通信 的 节点 数目 。 该 方法 虽然 降低 了 网 络 负 载 ,但 也 降低 了 
系统 的 安全 性 ,攻击 者 需要 攻破 的 节点 的 数目 也 减少 了 。 另 一 种 是 增加 拥有 系统 私 钥 的 节 
点 数目 n。 极 端 情况 下 nn 为 网 络 中 的 节点 数 , 即 网 络 中 所 有 节点 都 持 有 一 份 系统 私 钥 , 这 种 
情况 下 节点 只 要 向 周围 个 邻居 节点 申请 证 书 即 可 。 由 于 通信 和 局 限于 本 地 ,网 络 负载 和 服 
务 时 间 会 大 大 降低 ,但 随 着 拥有 系统 私 钥 的 节点 数目 的 增加 ,对 其 管理 和 维护 的 费用 也 在 增 
加 ,如 系统 私 钥 更 新 的 费用 就 会 明显 增加 。 权 衡 利 整 ,最 好 采用 自 适应 的 方式 来 决定 妈 Fl 
的 数目 。 当 网 络 处 于 相对 安全 的 环境 下 运行 时 , 则 可 降低 的 数目 ,反之 则 提高 的 数目 。 
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当 网 络 节点 数目 多 时 ,N 值 可 取 大 些 ,反之 则 可 取 小 些 。 

(2) 在 分 布 式 的 密 钥 管理 方案 中 ,还 存在 个 共同 的 弱点 ,无 法 对 抗 Sybil 攻击 5 , 即 攻 
击 者 利用 尽 可 能 多 的 节点 标识 来 获得 私 钥 共享 份 数 ,最 终 可 以 重建 系统 私 钥 。 对 抗 Sybil 
攻击 可 综合 采用 以 下 方法 。 首 先 绑 定 节点 硬件 地 址 与 标识 ,使 攻击 者 不 能 随意 改变 其 标识 。 
其 次 ,及 时 更 新 系统 私 钥 ,使 攻击 者 不 能 取得 k 份 系统 私 钥 。 最 后 采用 入侵 检测 的 方法 , 监 
视 节 点 行为 ,发 现 不 良 行为 ,及 时 予以 告警 。 

(3) 在 自 组 织 的 密 钥 管理 方案 中 ,每 个 节点 负责 颁发 和 维护 自己 的 证 书 ,由 于 没有 CA 
来 验证 身份 ,任何 能 发 布 证 书 的 节点 均 能 加 入 网 络 , 攻 击 者 可 假冒 或 编造 节点 标识 发 布 证 书 
加 入 网 络 。 解 决 该 问题 可 采用 ,首先 通过 检测 证 书 的 一 致 性 来 发 现 假冒 行为 ,如 同一 份 证 书 
代表 了 两 个 节点 ,然后 通过 邻居 监视 来 确定 假冒 者 ,从 而 将 其 排除 出 网 络 。 


2.3.4 其 他 一 些 密 钥 管理 方案 


Frank Stajano 和 Ross Anderson 提出 复活 鸭子 的 安全 模式 503 ,鸭子 破 壳 而 出 之 后 , 它 
会 把 它 见 到 的 第 一 个 移动 物体 作为 它 的 母亲 。 与 此 类 似 , 节 点 初始 化 时 , 它 将 第 一 个 发 给 它 
密 钥 的 节点 作为 它 的 拥有 者 , 它 只 接受 拥有 者 的 控制 。 这 种 控制 一 直 保持 到 节点 死亡 ,节点 
重新 复活 后 可 产生 新 的 拥有 者 。 这 样 就 形成 了 一 种 树 状 的 密 钥 分 发 与 管理 模式 。 这 种 方案 
适用 于 大 型 层次 型 的 网 络 ,例如 ,战场 指挥 网 络 。 它 还 适用 于 低 价 的 蔡 入 式 设 备 , 如 传感器 
网 络 (sensor networks) ?? 。 它 的 优点 在 于 简单 ,不 需 复杂 的 计算 。 缺 点 是 缺乏 灵活 性 ,如 
果 一 个 节点 失灵 了 , 它 所 带 的 所 有 子 节点 和 和 孙 节 点 都 将 无 法 进行 安全 通信 。 

N. Asokan 和 Philip Ginzboorg 提出 一 种 基于 口令 的 密 钥 管理 方案 0 了 了。 该 方案 针对 一 
群 带 着 笔记 本 电脑 的 人 在 一 间 会 议 室 里 开会 ,在 没有 任何 安全 架构 的 情况 下 ,建立 各 移动 电 
脑 之 间 的 安全 信息 交换 。 它 的 基本 思想 是 从 一 个 弱 的 口令 字 , 通 过 多 方 Diffie-Hellman 密 
钥 交换 D9 ,最 终生 成 用 于 信息 安全 交换 的 密 钥 。 该 方案 也 不 需要 CA 或 KDC, 但 只 适用 于 
小 范围 ,扩展 性 不 好 。 

Zheng Yan 提出 基于 外 部 CA 的 密 钥 管理 "9 。 外 部 CA 可 设立 在 卫星 或 飞机 上 ,采用 
广播 加 密 技 术 来 发 送信 息 。 网 络 中 节点 嵌入 专用 硬件 来 实现 密 钥 的 存储 ` 加 密 和 解密 操作 。 
该 方案 对 硬件 要 求 过 高 ,适用 面 不 广 。 

Srdjan Capkun 提出 通过 节点 的 移动 来 建立 交换 密 钥 的 方案 2 。 它 认为 节点 的 移动 性 
能 够 帮助 网 络 安全 的 实现 。 因 为 无 线 自 组 织 网 络 中 节点 在 频繁 移动 中 ,所 以 任意 两 节点 有 
机 会 相互 见面 , 当 它 们 接近 到 一 定 程度 时 ,通过 安全 旁 路 (如 红外 信道 ) 相 互 交换 密 钥 ,以 此 
种 方式 实现 密 钥 的 建立 和 维护 。 该 方案 也 不 需要 CA .但 受到 节点 移动 模式 、 分 布 范 围 等 因 
素 的 影响 。 

文献 [21 一 23] 提 出 组 密 钥 管理 方案 ,它们 共同 的 特点 是 将 网 络 分 为 多 个 组 ,组 头 负责 组 
内 各 节点 的 密 钥 管理 。 该 方案 在 一 定 程度 上 防止 了 单 点 失败 ,但 由 于 节点 的 移动 性 ,组 头 和 
组 员 管 理 十 分 复杂 。 

上 述 所 有 方案 都 考虑 到 无 线 自 组 织 网 络 自 组 织 无 中 心 的 特点 ,设计 上 采取 各 种 方法 取 
消 或 代替 集中 的 CA, 如 采用 分 布 式 的 CA 或 自 组 织 的 方法 ,但 同时 也 导致 了 一 些 缺 陷 , 如 : 
在 自 组织 的 密 钥 管理 中 ,网 络 无 法 排除 能 够 编造 节点 标识 并 发 布 证 书 的 恶意 节点 ,在 分 布 式 
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的 CA 中 ,节点 需要 向 多 个 节点 去 申请 证 书 , 增 加 网 络 负载 ,延长 了 服务 时 间 。 总 之 ,各 个 方 
案 都 有 各 自 的 优势 和 劣势 ,适用 于 不 同 的 场合 ,如 : 少数 人 开会 可 采用 基于 口令 的 密 钥 分 
Be ,战场 指挥 网 络 可 采用 复活 鸭子 或 组 密 钥 管 理 , 在 单个 管理 域内 可 采用 分 布 式 的 CA, 在 
多 个 管理 域内 可 采用 自 组 织 的 密 钥 管理 。 


2.4 路 由 安全 


路 由 协议 是 无 线 自 组 织 网 络 中 的 一 个 重要 的 部 分 ,因为 它 直接 决定 了 网 络 功能 的 实现 
和 效率 。 由 于 无 线 自 组 织 网 络 与 固定 网 络 具 有 不 同 的 特点 ,如 节点 移动 、 多 变 拓扑 ,使 得 常 
规 的 路 由 协议 不 适用 于 无 线 自 组 织 网 络 。 近 年 来 提出 了 许多 适用 于 无 线 自 组 织 网 络 的 路 由 
协议 ,如 DSR AODV™) .DSDV59 等 ,这 些 路 由 协议 在 设计 时 充分 考虑 了 Ad hoc 的 特 
点 , 却 没 有 考虑 到 安全 方面 的 因素 。 这 使 得 上 述 路 由 协议 在 安全 方面 存在 重大 隐患 。 下 面 
首先 分 析 路 由 协议 的 威胁 ,其 次 介绍 几 种 典型 的 路 由 安全 方案 。 


2.4.1 路 由 安全 的 威胁 


1. BM 

路 由 协议 假定 网 络 中 节点 都 是 相互 合作 的 ,转发 报 文 的 节点 不 会 修改 与 其 无 关 的 路 由 
信息 ,所 以 不 检查 路 由 信息 的 完整 性 。 这 使 攻击 者 能 够 十 分 容易 更 改 路 由 信息 中 任何 字段 ， 
例如 : AODV 路 由 中 的 序号 和 跳 数 ,DSR 路 由 包 中 的 路 由 节点 序列 等 ,从 而 产生 错误 的 路 
由 ,如 重 定向 ,回路 等 ,导致 整 个 网 络 性 能 下 降 。 攻 击 者 能 够 算 改 路 由 报 文 的 根本 原因 在 于 
节点 无 法 对 路 由 报 文 进行 完整 性 检测 。 

2. 冒充 

因为 路 由 协议 并 不 认证 报 文 的 地 址 ,所 以 攻击 者 可 以 声称 为 某 个 节点 加 入 网 络 ,甚至 能 
够 屏蔽 某 个 合法 节点 , 蔡 他 接收 报 文 。 其 根本 原因 在 于 节点 不 能 鉴别 报 文 的 来 源 。 

3. 伪造 

攻击 者 可 以 伪造 并 广播 假 的 路 由 信息 。 例 如 : 广播 某 条 存在 的 路 由 已 中 断 , 或 编造 一 条 
并 不 存在 路 由 。 它 可 造成 回路 、 分 割 网 络 .孤立 节点 等 。 其 原因 在 于 无 法 验证 报 文 的 内 容 。 

4. 泄露 拓扑 结构 

在 路 由 查询 和 发 送 报 文中 都 包含 有 明确 的 路 由 信息 ,如 DSR 报 文 头 部 就 含有 从 源 节 点 
到 目的 节点 的 路 由 。 攻 击 者 能 够 通过 偷 听 这 些 报 文 分 析出 节点 相 邻 情况 .所 处 位 置 等 拓扑 
信息 ,可 进一步 通过 流量 分 析 , 得 出 节点 在 网 络 中 的 功能 和 和 角色。 借助 这 些 信息 ,攻击 者 可 
准确 地 进攻 网 络 控制 节点 或 军事 网 络 中 的 指挥 员 。 

5. 不 合作 

无 线 自 组 织 网 络 中 节点 既是 终端 用 户 又 作为 一 个 网 络 交换 的 路 由 器 , 它 不 仅 收发 自己 
的 报 文 ,还 要 转发 其 他 节点 的 报 文 。 一 个 源 节点 到 目的 节点 平均 有 五 跳 的 网 络 , 转 发 所 占 的 
能 量 可 达 整 个 能 量 消耗 的 80% 中 了。 因此 ,在 多 个 管理 域 的 网 络 中 , 某 些 自私 的 节点 为 了 节 
省 自己 的 资源 ,不 参加 路 由 查询 .不 转发 报 文 ,这 会 严重 影响 网 络 的 性 能 。 当 有 10% ~40% 
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节点 出 现 自私 行为 时 ,网 络 吞 吐 量 将 下 降 1626329609 。 
6. 几 种 路 由 攻击 
资源 消耗 攻击 : 攻击 者 发 送 大 量 无 用 数据 报 文 ,消耗 网 络 和 节点 资源 ,如 带宽 、 内 存 、 
CPU, im^. 
Wormhole 攻击 "站; 两 个 串通 的 攻击 者 ,采用 专用 


通路 直接 相连 ,越过 正常 的 拓扑 结构 ,直接 转发 路 由 查 bam 

询 报 文 , 造成 错误 的 路 由 拓扑 信息 。 图 22 为 。 co ~u 
Wormhole 攻击 示意 图 ,从 S 节点 到 DD 节点 的 正常 路 打 m 

由 应 该 为 一 A 一 B 一 C 一 DD, 但 攻击 者 M, 和 M; 通过 5 n 


包 EPS P 

ABC 建立 虚拟 专用 通道 用 来 转发 路 由 查询 报 文 ,这 样 A 8 一 一 =~( 
形成 了 S 一 M M: 一 D 的 路 由 。 因 为 后 者 路 由 跳 数 少 ， 
源 节 点 选择 了 S—M, M:—D 作为 发 送 路 由 。 

Blackhole 攻击 C9 ,是 在 路 由 查询 中 攻击 者 在 没有 至 目的 节点 的 路 由 情况 下 ,抢先 宣布 
有 到 目的 节点 的 路 由 ,使 源 节点 建立 通过 该 节点 的 路 径 ,在 随后 的 报 文 发 送 中 ,抛弃 通过 该 
节点 的 报 文 ,形成 抛弃 报 文 的 黑洞 。 

Rushing Ji d; 7? ,在 按 需 路 由 协议 中 ,攻击 者 短 时 间 内 发 送 大 量 路 由 查询 遍布 全 网 络 ， 
使 得 其 他 节点 正常 的 路 由 查询 无 法 提交 处 理 而 被 抛弃 。 


2.4.2 ”路 由 安全 协议 


图 2-2 Wormhole 攻击 示意 图 


1. SRP“! 

路 由 安全 协议 (Secure Routing Protocol,SRP) 是 对 现 有 的 按 需 路 由 协议 进行 扩充 , 实 
现 辨 别 和 抛弃 假 的 路 由 信息 ,从 而 防止 攻击 者 对 路 由 信息 的 自 改 、 重 放 和 伪造 ,确保 获取 正 
确 的 拓扑 信息 。 协 议 前 提 为 源 节点 与 目标 节点 存在 共享 密 钥 ,以 进行 认证 和 通信 。 

SRP 在 路 由 报 文中 扩充 一 个 安全 报头 ,其 包含 标识 、 序 列 号 和 报 文 鉴别 码 。 当 源 节 点 
发 起 路 由 请 求 , 即 路 由 查询 报 文 (RREQ) 时 , 它 将 源 地 址 \ 目 的 节点 地 址 和 报 文 标识 通过 共 
享 密 钥 计 算出 报 文 鉴别 码 ,并 随 报 文 一 起 发 送 。 中 间 节 点 转发 报 文 ,同时 记录 节点 的 路 由 请 
求 频率 , 它 用 频率 的 倒数 作为 处 理 的 优先 级 ,这 样 可 防止 攻击 者 发 出 大 量 无 用 的 路 由 请 求 来 
阻塞 网 络 ,因为 这 些 请 求 的 优先 级 将 迅速 降低 ,以 至 于 不 再 处 理 。 中 间 节 点 一 般 不 能 回答 路 
由 请 求 , 只 有 当中 间 节 点 与 源 节点 有 共享 密 钥 并 有 至 目标 的 路 由 时 才能 回答 路 由 请 求 。 当 
路 由 请 求 报 文 到 达 目 标 节 点 时 ,目标 节点 首先 使 用 共享 密 钥 计算 报 文 鉴别 码 来 检验 报 文 的 
完整 性 。 如 果 路 由 请 求 是 合法 的 , 它 会 像 源 节点 一 样 发 出 一 个 带 有 报 文 鉴别 码 的 路 由 回答 
(RREP) 。 如 果 校 验 不 通过 ,路 由 请 求 报 文 就 会 被 扔 掉 。 当 路 由 答 报 文 返回 到 源 节点 时 , 同 
样 检验 完整 性 ,符合 时 接受 其 路 由 。 路 由 回答 报 文 (RRER) 不 需 安 全 报头 ,由 发 现 链 路 中 断 
的 节点 直接 发 到 源 节点 。 

此 方法 的 优势 有 以 下 三 点 。 

(1) 协议 简单 ,无 须 修 改 原 路 由 协议 ,只 需 进 行 扩 充 就 可 实现 安全 保障 。 

(2) 密 钥 管理 简单 , 它 只 需 收发 两 端 拥有 密 钥 进 行 校 验 ,网 络 中 的 节点 既 不 拥有 密 钥 也 
不 参与 校 验 ,这 既 简化 了 密 钥 管 理 又 减轻 了 节点 的 运算 量 。 
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(3) 适用 面 广 ,采用 端 到 端的 鉴别 ,可 适用 于 多 种 网 络 协议 。 

它 有 两 处 不 足 。 

(1) 路 由 协议 为 提高 查找 效率 ,中 间 节 点 能 根据 缓存 来 回答 路 由 请 求 ,此 时 因为 没有 与 
中 间 节 点 的 共享 密 钥 而 无 法 认证 。 

(2) 无 法 认证 路 由 维护 信息 ,路 由 失败 时 ,由 中 间 节 点 产生 的 路 由 错误 信息 无 法 进行 鉴 
别 ,因为 源 节点 与 路 由 中 间 节 点 没有 共享 密 钥 。 

2. Ariadne? 

Ariadne(A Secure On-Demand Routing Protocol for Ad hoc Networks) Œ — fb dE F 
DSR?” ,使 用 TESLA) 技术 的 安全 路 由 协议 。TESLA 是 一 种 广播 认证 技术 , 它 通 过 
MAC 来 实现 对 报 文 的 认证 ,利用 时 钟 同步 和 密 钥 延 迟 发 布 来 防止 伪造 报 文 鉴别 码 。 它 的 
基本 过 程 是 发 送 方 先 发 送 报 文 和 报 文 鉴别 码 ,随后 再 发 送 用 于 验证 报 文 鉴别 码 的 密 钥 ,接收 
方 接收 后 先 存储 报 文 再 接收 密 钥 进行 认证 。 为 了 保证 先 接收 报 文 后 接收 密 钥 的 顺序 ,要 求 
收发 双方 时 钟 同步 。Ariadne 的 前 提 是 收发 双方 建立 共享 密 钥 、 网 络 中 各 节点 拥有 其 他 节 
点 的 TESLA 认证 初始 值 , 各 节点 时 钟 要 求 基 本 同步 。 

路 由 查询 中 实现 了 收 方 能 够 认证 发 方 身份 ,发 方 能 够 认证 路 由 回答 报 文 中 的 每 个 节点 ， 
路 由 序列 不 能 被 算 改 。 收 发 双方 通过 共享 密 钥 来 实现 相互 认证 。 发 方 使 用 与 收发 共享 密 角 
计算 出 路 由 查询 报 文 的 报 文 鉴别 码 , 随 报 文 一 起 发 送 。 中 间 节 点 收 到 路 由 查询 报 文 时 ,将 本 
节点 的 标识 加 入 到 节点 序列 中 ,并 重新 计算 节点 序列 的 Hash 值 , 然 后 用 本 节点 的 TESLA 
密 钥 计算 整个 报 文 的 报 文 鉴别 码 , 附 在 报 文中 转发 给 邻居 节点 。 目 标 节 点 收 到 路 由 查询 报 
文 时 ,首先 使 用 共享 密 钥 认证 发 方 身份 ,然后 使 用 节点 列表 重新 计算 节点 序列 的 Hash ff. 
校 验 节点 序列 的 完整 性 。 校 验 通过 后 ,目标 节点 形成 的 报 文 路 由 应 答 沿 原 路 返回 到 源 节点 。 
路 由 回答 报 文 返回 过 程 中 ,各 节点 将 自己 的 TESLA 认证 密 钥 附 上 。 返 回 到 源 节点 后 , 源 节 
点 通过 这 些 密 钥 来 校 验 报 文 的 完整 性 。 如 果 校 验 通过 , 则 接受 报 文 。 图 2-3 显示 一 次 路 由 
查询 的 过 程 ,S 为 源 节点 ,D 为 目标 节点 ,A、B、C 为 中 间 节 点 ,id 为 报 文 标识 ,ti 为 时 间 ,H 
代表 Hash 运算 ,Ka 代表 节点 A 的 TESLA 认证 密 钥 ,MACk 代表 使 用 密 钥 K 计算 报 文 鉴 
别 码 。 底 划 线 的 部 分 表示 与 前 次 报 文 不 同 的 部 分 。 

路 由 维护 时 ,中 间 节 点 发 出 RRER 报 文 , 并 附加 上 本 节点 的 TESLA 认证 信息 ,所 有 
RRER 途径 节点 存储 该 报 文 ,等 待 密 钥 公布 并 认证 ,如 果 通 过 认证 则 修改 路 由 表 , 否 则 抛弃 
该 报 文 。 

本 方法 的 优势 在 于 使 用 对 称 加 密 技术 和 广播 认证 技术 ,与 非 对 称 加密 技 术 相 比 , 它 大 大 
降低 了 节点 的 运算 量 ,节省 了 节点 资源 。 缺 点 有 三 点 ,其 一 要 求 各 节点 进行 时 钟 同步 ,这 种 
要 求 对 于 无 线 自 组 织 网 络 是 不 现实 的 。 其 二 ,网 络 中 的 各 节点 都 要 发 送 自己 的 TESLA 密 
钥 以 供 其 他 节点 认证 ,这 需要 占用 不 少 带宽 。 其 三 ,节点 收 到 报 文 不 能 立刻 认证 ,需要 等 待 
TESLA 密 钥 的 公布 ,这 造成 了 一 定时 间 的 延迟 。 

3. ARAN?! 

ARAN(Authenticated Routing for Ad hoc Networks) 适 用 于 按 需 路 由 协议 ,利用 公 钥 
证 书 和 公认 的 CA 来 实现 认证 的 路 由 。ARAN 前 提 条 件 要 求 有 信任 的 证 书 服务 器 来 发 放 
和 管理 证 书 ,每 个 节点 加 入 网 络 前 必须 从 证 书 服务 器 获取 一 个 公开 密 钥 的 证 书 。 
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: ho =MACx,, (REQUEST, S, D, id. ti) 
S—»*,  (REQUST,S.D.id,tish 0,0) 
hı =H[A, hy] M, =MACx, (REQUEST,S,Dyidstish: CA) .O) 
A 一 > * : — (REQUST,S.D.id,ti h CA) (Mj) 
B: h: = H[B, hı ]Ms=MACx, (REQUEST. S, D. id. tis h; , (A,B) ,(M4)) 
B—>*; (REQUST,S,D,id,ti,h: ,(A,B) (M, Mi) 
hy =H[C,h:] 
Mc=MACg, (REQUEST,S,D,id,ti,hs CA, B.C) (M, , Ms)) 
C—*,  (REQUST,S,D,id,tish, .CA,B.O) (M, M; Mo) 
D: My — MAC, (REPLY, D,S,ti,(A,B,C) , (Ma, Ms, Me)) 
D->C: (REPLY,D,S,ti, (A,B,C), (M, Ms, Mo Mo) 
C—>B; (REPLY,D,S,ti, (A,B,C), (M, Ms, Mc) Mo (Kc, )) 
B—->A: (REPLY,D,S,ti, (A,B,C), (M, Ms Mo Mos Kc, ,Ka )) 
A 一 >S:， — CREPLY,D,S,ti,(A,B,C) (Ma Ms Mo) ‚Mp, (Ke, «Ks, Ka, )) 


图 2-3 Ariadne 协议 的 路 由 查询 过 程 


路 由 查询 时 , 源 节 点 发 出 一 个 经 过 签名 的 路 由 查询 报 文 。 第 一 跳 节 点 校 验 源 节点 签名 
后 ,签名 并 附 上 自己 的 证 书 。 随 后 每 个 转发 节点 都 先 校 验 前 一 个 节点 的 签名 ,然后 用 自己 的 
签名 和 证 书 奉 代 上 个 节点 的 签名 和 证 书 。 路 由 查询 报 文 到 达 目 标 后 ,目标 节点 校 验 签 名 , 然 
后 产生 路 由 应 答 , 沿 来 路 返回 ,途径 的 每 个 节点 与 来 时 一 样 进行 校 验 和 签名 。 源 节点 收 到 路 
由 应 答 , 校 验 目的 节点 的 签名 正确 后 接受 其 路 由 。 路 由 中 断 时 ,路 由 维护 报 文 由 发 送 节点 签 
名 后 直接 转发 至 源 节点 ,中 间 节 点 不 再 进行 修改 。 图 2-4 显示 ARAN 路 由 查询 中 如 何 进 行 
AE BLUE 10 d Fe S 为 源 节点 ,D 为 目标 节点 ,A、B 为 中 间 节 点 ,CERTs 为 源 节点 的 证 书 ， 
N 为 一 个 随机 整数 ,t 为 发 送 时 间 ,N、\t 用 于 防止 重 放 攻 击 。 


S->*: [REQUEST,D,CERTs . N.t]K.- 
A->*: LEREQUEST. D. CERT; +N+t]Ks- ] Ka- CERTA 
B->*: LLREQUEST. D, CERT; . N.t]Ks- ] Ks- CERT; 


2-4 ARAN 路 由 查询 


本 协议 的 优点 有 两 点 ,其 一 ,ARAN 使 用 公开 密 钥 算 法 实现 了 报 文 鉴别 、 完 整 性 和 不 可 
抵赖 性 。 在 路 由 查找 和 路 由 应 答 中 使 用 端 到 端 和 单 跳 的 认证 来 阻止 伪造 ,使 用 数字 签名 来 
阻止 报 文 自 改 。 从 安全 的 角度 来 看 , 它 提供 了 较 完善 的 安全 功能 。 其 二 ,路 由 报 文 经 过 的 每 
一 个 节点 都 相互 签名 认证 ,所 以 攻击 者 没有 机 会 加 入 网 络 进行 攻击 。 缺 点 有 四 点 ,其 一 为 中 
间 节 点 不 能 回答 路 由 请 求 ,必须 由 目的 节点 来 回答 ,降低 了 路 由 协议 的 效率 。 其 二 为 使 用 公 
开 密 钥 算 法 来 进行 认证 ,会 导致 节点 计算 负载 过 重 ,如 果 攻 击 者 发 出 大 量 路 由 请 求 ,会 导致 
节点 来 不 及 进行 认证 而 无 法 处 理 正常 的 路 由 信息 。 其 三 ,如 果 被 攻破 的 节点 从 内 部 发 动 攻 
击 , 该 算法 不 能 抵抗 ,因为 攻击 者 拥有 合法 的 证 书 。 其 四 ,要 求 有 一 个 公共 的 CA 来 维护 每 
一 个 节点 的 证 书 , 该 CA 失败 将 导致 整个 网 络 的 安全 失效 。 
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4. SEAD?? 

SEAD( Secure Efficient Distance Vector Routing for Mobile Wireless Ad hoc Networks) J: 4& 
于 距离 向 量 DSDV5 的 安全 路 由 协议 ,基本 思想 是 利用 Hash 链 中 的 元 素来 认证 路 由 更 新 
报 文中 的 序列 号 和 跳 数 。 所 谓 单 向 Hash 链 , 即 先 选择 一 种 Hash 函数 ,如 MD555 ,再 选择 
一 个 0 一 1 之 间 的 随机 数 X, 令 Ho =X. H, =MD5( Hy). H: =MD5(H,) AK EIT SE HK 
列 数 Ho, Hy ,HH;,… ,日 , ,这 一 系列 数 就 叫 单 向 Hash 链 。 利 用 这 一 系列 数 就 可 实现 认证 ， 
如 已 知 Hy ,要 鉴别 Hy 是 否 合法 ,只 要 计算 出 MD5(MD5(MD5(Hs ))) 与 Hs 相对 照 即 可 。 
因此 ,只 要 拥有 认证 元 素 H, ,所 有 Hash 链 中 的 元 素 均 可 鉴别 。 

SEAD 的 前 提 是 有 信任 的 实体 来 分 配 和 维护 各 节点 的 认证 元 素 。 每 一 个 节点 在 路 由 更 
新 中 从 自己 的 Hash 链 中 选 出 一 个 元 素 用 于 认证 。 节 点 选择 Hash 值 的 算法 为 ,假定 网 络 最 
大 跳 数 为 m, Hash 链 为 Ho, Hi «Hz «n Hn ,将 Hash 链 分 为 n/m 组 ,每 一 组 用 于 认证 一 个 
序列 号 ,组 内 的 Hash 值 用 于 认证 跳 数 。 例 如 : 序列 号 i, 令 k=n/m 一 i, 其 组 内 元 素 为 Hin ， 
Haya itt Hayes s WR BEBO jW Hash ffi Hi,;; 即 可 用 于 认证 序列 号 为 i RO j 的 路 
由 更 新 。 由 于 单 向 Hash 链 的 特性 ,能 够 防止 攻击 者 伪造 一 个 比 真实 序列 号 大 的 报 文 ,或 比 
真实 跳 数 小 的 报 文 。 当 节点 收 到 路 由 更 新 报 文 时 , 它 首先 利用 Hash 值 进 行 认证 ,如 果 认 证 
通过 则 修改 路 由 表 , 否 则 抛弃 该 报 文 。 此 方法 的 优点 为 采用 单 向 Hash. 链 算法 进行 认证 ,大 
大 降低 了 节点 的 运算 复杂 度 。 缺 点 为 在 网 络 运行 整个 过 程 都 需要 有 信任 的 实体 来 分 配 和 维 
护 每 个 节点 的 认证 元 素 。 因 为 Hash 链 中 的 元 素 会 被 用 完 , 用 完 后 节点 要 重新 计算 一 条 
Hash 链 , 其 认证 元 素 H,, 要 由 信任 实体 重新 分 配给 所 有 节点 。 该 信任 实体 容易 引起 单 点 失 
败 , 它 若 被 攻击 者 攻破 了 , 则 整个 网 络 路 由 协议 无 法 认证 了 。 

5. SAODV P^ 

SAODV (Secure Ad hoc On-Demand Distance Vector) 是 基于 AODVCU? 的 路 由 安全 协 
议 , 它 的 前 提 条 件 是 要 将 网 络 中 所 有 节点 的 公 钥 分 发 到 各 节点 ,以 便 用 于 签名 认证 , 它 使 用 
两 种 机 制 来 保证 AODV 的 协议 安全 。 一 种 是 数字 签名 ,用 来 保证 报 文中 不 需 变 化 部 分 的 完 
整 性 ,提供 端 到 端的 鉴别 。 另 一 种 是 单 向 Hash 链 , 用 来 保证 路 由 报 文中 可 变 的 部 分 如 跳 数 
的 认证 。 

源 节点 路 由 查找 时 ,发 出 带 有 数字 签名 和 Hash 值 的 路 由 查询 报 文 ,中 间 节 点 收 到 路 由 
查询 报 文 时 ,首先 校 验 数字 签名 和 Hash 值 ,能 通过 时 人 处理 该 报 文 ,否则 抛弃 该 报 文 。 路 由 
查询 报 文 到 达 目 的 节点 时 ,节点 形成 路 由 回答 报 文 ,同样 进行 数字 签名 和 计算 Hash 值 后 沿 
来 路 返回 。 与 ARAN 不 同 的 是 中 间 节 点 并 不 需要 相互 签名 认证 ,只 有 源 目的 节点 对 路 由 报 
文 进行 数字 签名 ,中 间 节 点 只 需 验 证 数字 签名 ,而 不 需 形成 数字 签名 ,计算 量 比 ARAN 少 了 
一 半 。 

对 于 AODV 路 由 查找 中 ,中 间 节 点 如 何 回答 路 由 查询 的 问题 ,采用 双 签名 方法 来 解决 ， 
即 源 节点 在 发 出 路 由 查询 报 文中 设立 一 个 标志 位 并 带 上 一 个 返回 路 由 回答 报 文 的 签名 ,这 
样 ,中 间 节 点 可 根据 附带 的 签名 生成 报 文 返回 源 节点 。 对 于 路 由 出 错 报 文 的 处 理 方法 为 , 产 
生 该 报 文 的 节点 进行 数字 签名 ,这 样 就 可 防止 攻击 者 编造 报 文 。 

该 协议 的 优点 在 于 采用 双 签 名 机 制 解决 了 中 间 节 点 回答 路 由 请 求 的 问题 。 缺 点 是 采用 
公开 密 钥 算 法 ,中 间 转 发 节点 需要 检验 数字 签名 ,计算 负载 比较 大 。 
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6. SLSP 

SLSP(Secure Link State Routing for Mobile Ad hoc Networks) 是 基于 链 路 状态 的 路 
由 安全 协议 。 它 保护 使 用 链 路 状态 算法 的 路 由 协议 ,例如 : ZRP""。 算 法 前 提 为 每 个 节点 
持 有 公 钥 和 私 钥 , 并 将 公 钥 发 送 给 所 有 节点 。SLSP 对 链 路 状态 更 新 报 文 扩 充 一 个 安全 报 
头 , 通 过 数字 签名 来 提供 认证 和 完整 性 , 报 文 序列 号 来 防止 重 放 攻击 , 单 向 Hash 链 来 限制 
转发 次 数 。 各 节点 周期 性 地 向 网 络 节点 广播 经 过 签名 的 链 路 状态 更 新 报 文 。 网 络 中 节点 收 
到 链 路 状态 更 新 报 文 后 ,首先 检查 签名 和 报 文 完整 性 ,如 果 检 查 通过 则 接受 该 报 文 , 若 没 达 
到 最 大 转发 次 数 则 转发 该 报 文 , 如 果 检 查 没 通过 则 抛弃 该 报 文 。SLSP 还 包括 邻居 监视 机 
制 ,每 个 节点 将 其 MAC 地 址 和 IP 地 址 经 过 签名 后 发 给 邻居 节点 ,邻居 节点 记录 相应 地 址 。 
它 有 以 下 两 个 用 途 。 

(1) 它 可 防止 伪造 TP 地 址 。 

(2) 用 来 记录 邻居 发 送 报 文 的 频率 ,如 果 发 送 报 文 的 频率 过 高 ,超过 一 定 限额 ,就 可 以 
认定 为 攻击 者 ,对 其 发 出 的 报 文 不 再 处 理 而 直接 抛弃 ,这 样 就 可 将 攻击 者 滥 发 的 报 文 限制 在 
单 跳 邻 居 范 围 之 内 ,有 效 地 防止 了 拒绝 服务 攻击 。 

该 协议 的 优点 在 于 采用 邻居 监视 机 制 来 防止 拒绝 服务 攻击 。 缺 点 是 采用 公开 密 钥 算 
法 ,各 节点 既 要 生成 本 节点 报 文 的 数字 签名 又 要 检验 其 他 节点 报 文 的 数字 签名 ,计算 负载 比 
BERK, 


2.4.8 ”路 由 安全 协议 的 比较 与 分 析 


R 2-2 对 本 文 介绍 的 六 种 比较 典型 的 路 由 安全 协议 进行 了 分 析 和 上 比较。 它们 有 一 些 共 
同 的 特点 ,需要 事先 通过 信任 的 实体 或 证 书 服务 器 将 密 钥 、 证 书 或 认证 元 素 发 布 到 各 节点 ， 
协议 都 能 够 抗击 前 述 的 各 种 网 络 进攻 ,如 冒充 、 伪 造 等 ,但 都 只 局 限于 攻击 者 的 单个 进攻 , 针 
对 联合 进攻 ,如 Wormhole 攻击 ,各 个 协议 都 无 法 对 付 , 文 献 L38] 专 门 提出 一 种 方法 
Packet leashes 抵抗 Wormhole 攻击 , 它 基 于 精确 的 时 间或 位 置信 息 来 发 现 并 阻止 它 的 
攻击 。 
R22 路 由 安全 协议 的 比较 


一 一 [运用 的 路 主要 的 安全 [ 
协议 名 称 E 协议 前 提 wa 认证 部 分 | os 缺点 
源 节 点 与 目标 节 广 地 址 \ 目 | 算法 简单 、 适 RE 
点 i ` Fi 、 
SP DSR 。 | 点 建立 共享 密 钥 | 报 文 鉴别 码 mua 用 面 广 间 节 点 不 能 回答 
路 由 请 求 
s oui TE 采用 对 称 密 钥 | 要 求 节点 时 钟 同 
ARIADNE| Den  mssbrxsm[m go (BPX | M TESLA t| s Rubi 
Vaga aieo iot 路 由 序列 | 术 , 计 算 量 小 .| 铀 占用 带宽 、 认 
i 管理 简单 。 ”| 证 有 延迟 
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ax 
| ARR - 主要 的 安全 [ 
协议 名 称 | SNE 协议 前 提 a | 认证 部 分 | os 缺点 
建立 证 书 服务 计算 量 大 .需要 
实现 了 鉴别 、 
器 ,发 布 和 维护 (EB CA hi 
ARAN |AODV DSR] aan gy MERE |B EEEREN Veg 
证 书 milk 
mE 需要 信任 的 实体 
SEAD [psov (amii | ah manse E Do 计算 负载 小 | 来 分 配 和 维护 各 
节点 的 认证 元 素 
数字 签名 音 "BRI ACIE UI | RATERS 
AN: 
SAODV | AODV 。 | 分 发 节点 公 钥 ame DR RRR | 法 计算 量 大 
采用 邻居 监视 | 人、 
SLsp | 2RP AR AR eng. (RARE 机 制 来 防止 拒 r 
绝 服务 攻击 


以 上 的 路 由 安全 协议 存在 的 问题 及 改进 方法 : 

COD 有 些 协议 在 设计 上 强调 了 安全 性 ,而 忽视 了 可 用 性 。 没 有 充分 考虑 到 无 线 自 组 织 
网 络 节点 计算 能 力 弱 .电池 和 通信 带宽 有 限 的 特点 ,如 ARAN, SAODV SLSP 协议 ,采用 公 
开 密 钥 证 书 加 数字 签名 的 安全 机 制 ,在 安全 方面 是 完善 的 ,但 由 于 数字 签名 的 生成 和 检验 都 
是 计算 量 非常 大 的 ,非常 耗 时 的 ,这 对 于 本 身 计 算 能 力 弱 ,同时 还 要 承担 转发 报 文 和 运行 应 
用 程序 的 移动 节点 来 说 ,是 一 项 沉重 的 负担 ,如 果 大 量 报 文 同 时 到 来 ,节点 就 会 因为 检验 数 
字 签 名 过 慢 而 来 不 及 处 理 报 文 ,导致 拒绝 服务 。 安 全 协议 的 设计 上 要 充分 考虑 到 无 线 自 组 
织 网 络 资源 有 限 的 特点 ,尽量 采用 报 文 鉴别 码 和 单 向 Hash 链 等 运算 量 小 的 安全 技术 ,以 减 
少 节点 的 运算 时 间 和 能 量 消耗 。 不 宜 采用 数字 签名 等 计算 量 大 的 算法 。 

(2) 设计 上 为 了 保证 安全 性 ,屏蔽 了 路 由 协议 的 某 些 功能 ,降低 了 路 由 协议 的 有 效 性 。 


功能 ,必须 由 目标 节点 产生 路 由 回答 ,降低 了 路 由 查询 的 效率 。 为 了 解决 该 问题 ,可 采用 
TESLA 认证 或 共享 密 钥 来 实现 对 中 间 节 点 路 由 回答 认证 。 

C3) 有 些 协议 的 前 提 条 件 要 求 在 网 络 运行 过 程 中 需要 集中 的 服务 器 支持 。 如 ARAN 
要 求 有 证 书 服务 器 管理 各 节点 公 钥 证 书 ,SEAD 要 求 信 任 的 实体 来 分 配 认 证 元 素 。 集 中 的 
服务 器 虽然 保证 了 协议 的 安全 ,但 却 带 来 了 单 点 失败 的 威胁 ,如 果 该 服务 器 被 攻破 , 则 整个 
网 络 安全 就 失效 了 。 因 此 ,在 设计 上 应 尽量 不 用 集中 的 服务 器 ,如 果 要 用 也 只 能 在 初始 阶 
段 ,网 络 运行 时 或 者 不 用 或 者 用 分 布 式 的 CA 来 实现 。 

CA) 有 些 协议 提出 的 要 求 是 网 络 难以 提供 的 。 如 Ariadne 协议 要 求 网 络 所 有 节点 时 钟 
同步 ,这 对 于 大 型 网 络 是 难以 实现 的 。 


2.5 入 侵 检 测 


无 线 信道 .动态 拓扑 、 合 作 的 路 由 算法 、 缺 乏 集 中 的 监控 等 都 使 得 无 线 自 组 织 网 络 安全 
更 加 脆弱 ,特别 是 移动 节点 缺乏 物理 保护 ,容易 被 偷窃 、 捕 获 , 落 入 敌手 后 重新 加 入 网 络 , 导 
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致 攻击 从 内 部 产生 。 而 采用 密码 学 理论 的 网 络 安全 方案 无 法 对 抗 此 类 攻击 。 目 前 还 没有 
100% 的 安全 方案 ,无 论 多 么 安全 的 方案 都 可 能 存在 这 样 或 那样 的 漏洞 。 因 此 ,入 侵 检测 就 
理应 成 为 安全 方案 之 后 的 第 二 道 防护 墙 。 


2.5.1 入 侵 检 测 方 案 


Yongguang Zhang 和 Weeke Lee 提出 了 一 个 基于 代理 的 分 布 式 协作 入 侵 检测 方案 C9 。 
在 该 方案 中 IDS 代理 运行 于 网 络 中 每 一 个 节点 上 ,拥有 六 大 功能 模块 ,分 为 数据 收集 、 本 地 
检测 、 合 作 检 测 、 本 地 入 侵 响 应 、 全 局 入 侵 响 应 、 安 全 通信 。 图 2-5 为 IDS 代理 由 六 大 功能 模 
块 组 成 的 示意 图 。 其 过 程 为 首先 执行 本 地 数据 收集 和 检测 。 如 果 本 地 节点 能 够 确定 入 侵 已 
发 生 , 则 直接 告警 。 如 果 只 是 怀疑 有 入 侵 行为 ,本 地 节点 能 够 激发 多 节点 的 协作 检测 , 进 一 
步 是 否 发 生 了 入 侵 。 如 果 确 定 有 入 侵 则 激发 全 网 的 入 侵 响 应。 同时 提出 了 一 个 检测 路 由 进 
攻 的 异常 检测 模型 ,通过 提取 正常 网 络 运行 时 的 数据 ,进行 分 类 训练 ,实现 对 路 由 入 侵 的 检 
测 。 为 了 提高 检测 效率 ,入 侵 检测 并 不 局 限于 网 络 层 ,而 是 多 层 综合 检测 。Yongguang 
Zhang 在 后 续 文献 [40] 中 对 上 述 方案 进行 了 详细 的 论述 ,建立 了 一 个 IDS 模型 并 用 网 络 模 
拟 器 实现 了 模拟 运行 。 


1DS 代 理 
本 地 入 侵 响 应 全 局 入 侵 响 应 
i 


本 地 监测 。 J—e-| 合作 监测 

| i 

本 地 数据 收集 安全 通信 
i 
本 地 系统 和 通信 信息 SEDs 


图 2-5 IDS 代理 组 成 


上 述 方案 的 优势 有 两 点 ,其 一 ,提出 了 分 布 式 协作 入 侵 检测 的 架构 ,利用 分 布 在 每 个 节 
点 的 IDS 代理 独立 完成 本 地 检测 ,合作 完成 全 局 检测 ,适合 于 无 线 自 组 织 网 络 自 组 织 的 特 
点 。 其 二 ,采用 多 层 综合 人 侵 检测 ,提高 了 检测 效率 。 缺 点 也 有 两 点 ,其 一 ,采用 异常 检测 模 
式 , 要 事先 采样 数据 进行 训练 ,不 适合 于 无 线 自 组 织 网 络 多 变 的 应 用 场合 。 其 二 ,每 个 节点 
都 运行 有 代理 ,占用 过 多 的 内 存 和 计算 资源 。 

Oleg Kachirski 和 Ratan Guha 提出 了 基于 移动 代理 的 人 侵 检测 方案 中。 他 们 认为 
Yongguan Zhang 的 方案 每 个 节点 都 有 代理 ,过 于 占用 网 络 资源 ,为 了 节省 资源 ,只 是 在 某 
些 节点 上 驻 留 有 监视 网 络 的 代理 ,并 且 代理 的 数量 可 按 要 求 进行 增 减 。 

Chin-Yang Tseng 等 有 提出 了 基于 规范 (specification-based) 和 人 侵 检测 方案 5 。 该 方案 
利用 分 布 在 网 络 中 的 监测 点 ,合作 监视 在 AODV 路 由 查询 过 程 中 ,被 监视 节点 是 否 按 路 由 
规范 进行 操作 。 如 果 发 现 不 一 致 则 报警 。 检 测 过 程 为 ,监听 节点 对 查询 报 文 的 处 理 过 程 , 记 
录 下 来 形成 转发 表 和 操作 树 ,然后 用 规范 形成 的 有 限 状 态 机 进行 检查 ,输出 为 正常 状态 、. 怀 
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疑 状 态 、 入 侵 状 态 三 种 结果 ,再 分 别 进 行 不 同 的 处 理 。 该 方案 优点 在 于 采用 了 基于 规范 入 侵 
检测 , 既 不 需要 事先 提取 入 侵 行为 特征 ,也 不 需要 数据 进行 训练 ,有 和 较 高 的 检测 率 和 较 低 的 
误 报 率 。 缺 点 为 ,占用 节点 较 多 的 计算 资源 ,也 未 用 实验 进行 验证 。 


2.5.2 ”入侵 检测 方案 的 比较 与 分 析 


K 2-3 对 三 种 人 侵 检 测 方案 进行 了 比较 ,上 述 入 侵 检测 方案 存在 以 下 一 些 问 题 : 
R23 ”三 种 入 侵 检测 方案 的 比较 


基于 代理 的 分 布 式 基于 移动 代理 的 
协议 名 称 协作 入侵 检测 入 侵 检测 基于 规范 人 侵 检测 
执行 者 驻 留 节 点 上 的 代理 各 种 移动 代理 每 个 节点 
检测 模式 | 异常 检测 异常 检测 基于 规范 的 检测 
检测 方法 | 分 布 式 监测 ,邻居 监视 分 布 式 监测 、 邻 居 监 视 分 布 式 监测 、 邻 居 监 视 

可 动态 调整 代理 数量 ,降低 | 不 需要 数据 进行 训练 , 较 高 

优点 各 代理 合作 监测 与 响应 对 资源 的 消耗 的 检测 率 
缺点 占用 过 多 资源 协议 比较 复杂 计算 量 大 


(1) 现行 的 入 侵 检 测 的 架构 为 使 用 代理 作为 人 侵 检 测 的 执行 者 ,代理 驻 留 并 运行 于 网 
络 中 每 一 个 节点 内 ,分 布 式 的 监视 网 络 状况 ,信息 共享 ,合作 检测 入 侵 行为 。 这 种 架构 对 于 
入 侵 检测 来 说 是 较为 有 效 的 ,但 未 充分 考虑 到 网 络 带宽 和 节点 计算 资源 有 限 的 特点 ,节点 本 
身 要 运行 自己 的 应 用 程序 ,又 要 负责 网 络 报 文 转发 ,CPU 和 内 存 资源 已 经 很 紧张 ,还 要 运行 
代理 监视 网 络 和 主机 ,这 也 许 会 导致 节点 性 能 明显 下 降 ,甚至 资源 枯竭 。 网 络 带宽 也 十 分 有 
Fg ,代理 间 信 息 交 换 也 要 占用 带宽 ,这 也 许 会 影响 网 络 性 能 。 我 们 认为 在 设计 上 应 充分 考虑 
到 网 络 资源 有 限 的 特点 ,降低 其 对 资源 的 要 求 , 不 必 每 一 个 节点 都 运行 代理 ,可 采用 两 种 方 
式 , 一 种 是 分 区 域 ,每 个 区 域 使 用 一 个 代理 负责 监控 。 另 一 种 是 使 用 少量 移动 代理 散布 于 网 
络 各 处 ,如 发 现 异 常 ,可 向 异常 处 移动 ,进一步 检测 以 确定 是 网 络 故障 还 是 入 侵 行为 。 

(2) 入 侵 检测 的 模式 通常 为 异常 检测 模式 。 异 常 检测 模式 是 定义 好 正常 行为 的 范围 ， 
凡是 偏离 了 正常 的 行为 都 为 人 侵 行为 。 该 检测 模式 因为 其 能 够 检测 出 新 的 入侵 行为 而 被 采 
用 。 但 在 无 线 自 组 织 网 络 环境 下 ,因为 动态 的 拓扑 、 无 线 信道 的 不 稳定 、 应 用 环境 的 多 变 ,使 
得 难以 准确 定义 正常 行为 的 范围 。 如 果 定 义 不 当 ,将 会 导致 不 能 发 现 入 侵 行为 或 者 错误 报 
警 率 太 高 。 针 对 此 不 足 ,应 该 采用 基于 规范 的 入侵 检测 模式 ,事先 按 网 络 协议 的 规范 定义 好 
程序 的 执行 步骤 ,运行 时 监视 程序 是 否 按 规范 执行 ,偏离 了 即 为 人 侵 行为 。 无 线 自 组 织 网 络 
协议 都 有 明确 的 规范 ,使 用 该 技术 既 能 检测 出 未 知 的 入 侵 行为 ,又 有 较 低 的 误 报警 率 。 


2.6 增强 合作 的 机 制 


无 线 自 组 织 网 络 不 像 固 定 网 络 , 有 专门 的 路 由 器 和 交换 机 来 实现 网 络 通信 功能 , 它 的 每 
一 个 节点 既是 主机 又 是 路 由 器 , 既 作 为 一 个 网 络 终端 用 户 又 作为 一 个 网 络 交换 节点 ,因此 ， 
每 一 个 节点 要 承担 起 网 络 路 由 和 包 交 换 的 功能 。 但 在 无 线 自 组 织 网 络 中 每 个 节点 拥有 的 资 
源 有 限 ,在 多 个 管理 域 的 情况 下 ,有 些 节 点 为 了 节省 自己 的 资源 ,不 参与 网 络 交换 ,这 就 是 无 
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线 自 组 织 网 络 节点 中 的 自私 行为 。 这 种 自私 行为 对 网 络 性 能 的 影响 不 可 低估 。 在 文献 [43] 
中 研究 了 在 DSR 协议 环境 下 ,自私 行为 对 整个 网 络 吞 吐 量 和 传输 延迟 的 影响 程度 ,模拟 试 
验 结果 显示 , 既 使 整个 网 络 节点 中 只 有 小 部 分 节点 产生 自私 行为 ,也 造成 网 络 性 能 的 严重 下 
降 。 自 私 行为 和 攻击 者 的 蓄意 破坏 行为 虽然 在 出 发 点 上 有 所 不 同 , 前 者 是 为 了 保存 和 节省 
资源 ,后 者 是 为 了 破坏 网 络 的 正常 功能 ,但 它们 所 造成 后 果 相 同 ,都 会 严重 影响 网 络 性 能 ,所 
以 如 何 对 付 自私 行为 ,增强 网 络 节点 的 合作 机 制 也 应 该 是 网 络 安全 的 一 个 研究 方向 。 在 对 
付 自 私 行为 ,增强 合作 方面 的 论文 主要 分 为 两 类 ,第 一 类 是 基于 激励 的 机 制 ,其 基本 原理 为 
节点 转发 报 文 后 , 即 可 得 筹码 或 虚拟 货币 用 于 自己 报 文 的 发 送 。 第 二 类 是 基于 惩罚 的 机 制 。 
邻居 相互 监视 ,发 现 不 良 行为 的 节点 , 则 将 被 排除 出 网 络 。 下 面 首先 介绍 这 两 类 算法 ,然后 
进行 分 析 比 较 。 


2.6.1 基于 激励 的 机 制 


Levente Buttyan 和 Jean-Pierre Hubaux 在 文献 [44] 中 ,提出 了 为 了 增强 合作 ,网 络 中 
的 节点 必须 被 鼓励 转发 报 文 ,但 又 不 能 滥 发 报 文 增加 网 络 负 载 。 为 此 ,设计 两 种 虚拟 货币 的 
解决 方案 。 一 种 是 钱包 方式 ,需要 发 送 报 文 的 节点 估计 报 文 所 经 过 的 节点 与 所 需要 的 花费 ， 
将 计算 所 得 的 虚拟 货币 数 放 入 钱包 ,钱包 随 报 文 一 起 发 送 ,途径 中 间 的 每 一 个 转发 节点 从 报 
文 的 钱包 中 取出 一 定量 的 货币 作为 转发 该 报 文 的 费用 ,然后 转发 该 报 文 ,直至 到 达 目 的 节 
点 。 这 样 每 一 个 节点 只 有 尽力 转发 其 他 节点 的 报 文才 能 获得 足够 的 货币 以 发 送 自己 的 报 
文 , 从 而 起 到 一 种 激励 合作 的 作用 。 该 方式 的 优点 是 可 以 防止 节点 滥 发 报 文 增加 网 络 负 载 ， 
缺点 有 两 点 ,其 一 是 源 节点 需要 能 够 精确 计算 报 文 转发 的 费用 ,如 果 放 入 钱包 的 费用 小 于 实 
际 费 用 , 报 文 就 会 被 中 途 抛弃 ,在 拓扑 频繁 变化 的 无 线 自 组 织 网 络 中 估计 报 文 所 经 过 的 节点 
和 费用 不 是 一 件 容易 的 事情 。 其 二 是 每 个 报 文 都 要 携带 货币 ,用 于 中 途 付 给 转发 节点 ,增加 
了 报 文 的 长 度 。 另 一 种 解决 方案 是 购买 方式 ,每 一 个 节点 转发 报 文 时 ,从 上 游 节 点 买 下 该 报 
文 ,加 上 本 节点 的 转发 费用 后 ,又 把 报 文 卖 给 下 游 节点 , 依 此 转发 直至 目标 节点 。 该 方式 的 
优点 在 于 无 需 事先 估计 路 途 转发 费用 ,全 部 费用 由 收 方 支付 ,缺点 为 由 于 发 方 无 需 支 付 发 送 
费用 ,攻击 者 可 复发 报 文 ,造成 网 络 负载 过 重 直 至 崩溃 。 

Levente Buttyan and Jean-Pierre Hubaux 在 文献 [27] 中 ,提出 了 一 种 基于 筹码 的 方案 。 
该 方案 要 求 每 个 节点 都 安装 一 个 防止 用 户 修改 的 硬件 叫 安 全 卡 。 该 卡 内 有 筹码 累加 器 ,每 
当 节 点 转发 一 个 报 文 时 ,该 计数 器 就 增加 一 个 筹码 值 。 当 节点 需要 发 送 自己 的 报 文 时 ,就 要 
将 卡 内 筹码 累加 器 减 去 个 筹码 ,n 代表 报 文 要 经 过 个 节点 转发 才能 到 达 目 的 节点 。 如 
果 卡 内 筹码 数 小 于 n, 则 节点 不 能 发 送 该 报 文 。 这 意味 着 节点 要 发 送 自 己 的 报 文 ,首先 必须 
转发 其 他 报 文 ,以 积累 足够 筹码 才 行 。 该 方案 并 不 是 用 于 阻止 节点 的 不 良 行为 , 它 只 是 鼓励 
节点 转发 报 文 ,确保 节点 不 能 从 不 良 行为 中 获 益 , 如 果 节 点 不 转发 报 文 , 它 就 没有 筹码 用 于 
发 送 自己 的 报 文 。 甚 优点 是 算法 简单 ,只 需要 一 个 筹码 累加 器 即 可 。 缺 点 有 两 点 ,其 一 需要 
硬件 支持 。 其 二 不 论 报 文 长 短 ,转发 时 均 增 加 一 个 筹码 。 也 许 转 发 一 个 长 报 文 的 花费 相当 
于 转发 几 个 短 报 文 的 花费 。 

Sheng Zhong 等 人 认为 在 每 个 节点 安装 额外 硬件 是 不 现实 的 ,他 们 提出 一 个 不 需要 在 
节点 安装 硬件 的 类 似 方 案 sprite"' 引 。 首 先 设 立 一 个 集中 的 结算 中 心 来 存储 每 个 节点 的 筹码 
数 , 当 节点 发 送 一 个 报 文 时 ,所 有 中 间 转 发 节点 和 目的 节点 都 记 下 这 个 报 文 的 收据 ,然后 与 
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结算 中 心 联系 ,上 传 该 收据 ,结算 中 心 根据 报 文 转发 情况 付 给 参与 转发 节点 相应 的 筹码 数 ， 
同时 扣 去 发 送 节点 总 计 筹码 数 。 结 算 时 ,按照 博弈 理论 来 计算 支付 方案 ,促使 节点 能 够 尽力 
诚实 履行 网 络 功能 。 该 方案 的 优点 在 于 用 统一 的 结算 中 心 取代 了 各 节点 的 硬件 累加 器 ,无 
需 在 每 个 节点 安装 硬件 卡 。 缺 点 也 在 集中 的 结算 中 心 , 若 有 网 内 节点 承担 则 会 造成 过 重 的 
通信 和 负载 和 单 点 失败 。 该 算法 提出 使 用 网 外 设备 ,将 结算 中 心 放 在 网 外 ,通过 移动 通信 中 的 
GPRS 来 实现 与 结算 中 心 的 联系 。 这 既 增加 了 硬件 设备 ,又 限制 了 网 络 的 应 用 场合 。 

该 类 方案 有 三 个 特点 ,其 一 使 用 虚拟 货币 或 筹码 作为 转发 的 回报 。 其 二 使 用 硬件 设备 
来 存储 筹码 值 ,以 防 用 户 修改 。 其 三 采用 博弈 理论 来 促使 节点 合作 。 


2.6.2 基于 惩罚 的 机 制 


Sergio Marti 等 人 提出 通过 watchdog 和 pathrater 两 种 技术 来 对 付 不 良 节点 的 方 
AU, Watchdog 和 pathrater 运行 于 每 一 个 节点 上 , Watchdog 负责 监视 邻居 节点 行为 ,发 
现 不 良 行为 的 节点 。Pathrater 负责 选择 避 开 不 良 节点 的 路 径 。 该 方案 只 是 实现 如 何 发 现 
并 避 开 不 良 节点 ,并 不 孤立 和 惩罚 不 良 节点 。 不 良 节 点 仍然 能 够 正常 收发 报 文 , 反 而 为 其 免 
除了 正常 的 转发 流量 ,客观 上 奖赏 了 不 良 节点 。 

Sonja Buchegger 和 Jean-Yves Le Boudec 在 文献 [47,48] 中 提出 一 种 利用 邻居 监视 来 
发 现 并 排除 不 良 节 点 的 算法 一 CONFIDANT。 它 依靠 运行 于 每 个 节点 上 的 四 个 程序 来 实 
现 其 功能 。 邻 居 监 视 器 : 用 于 发 现 不 履行 正常 网 络 功 能 的 邻居 节点 。 信 任 管理 : 用 于 发 
送 、 接 收 、 管 理 其 他 节点 的 报警 信息 。 名 誉 系统 : 标记 并 管理 其 他 节点 的 名 誉 值 。 路 经管 
理 : 路 径 选 择 时 避 开 并 孤立 不 良 节 点 。 每 个 节点 监视 其 邻居 的 行为 ,如 果 发 现 不 良 行为 则 
提交 给 名 誉 系统 并 给 发 送 报警 信息 给 其 他 节点 。 名 誉 系统 为 每 个 节点 设立 一 个 名 誉 值 , 当 
有 不 良 行为 报告 时 ,减少 其 名 誉 分 值 。 当 某 个 节点 的 名 誉 值 低 于 标准 时 , 则 提交 路 径 管理 。 
路 径 管理 将 删除 与 不 良 节 点 有 关 的 路 径 存储 信息 ,并 拒绝 其 路 由 申请 。 该 方案 的 优点 是 不 
仅 发 现 不 良 节点 ,而 且 用 孤立 方法 来 惩罚 它们 ,以 促使 它们 履行 正常 网 络 功能 。 

Pietro Michiardi 和 Refik Molva 也 提出 一 种 通过 监视 技术 和 名 誉 机 制 来 激励 合作 的 算 
ik COREr。 网 络 中 每 一 个 节点 监视 其 邻居 的 行为 ,观察 其 是 否 履行 正常 网 络 功能 ,如 转 
发 报 文 .处 理 路 由 请 求 等 。 如 果 观 察 结果 与 预期 的 一 致 ,. 则 增加 该 节点 的 名 誉 分 值 ,否则 减 
去 一 定 分 值 。 节 点 通过 一 个 综合 公式 来 计算 某 个 节点 总 名 誉 分 值 ,公式 的 参数 有 直接 观察 
结果 、 其 他 节点 的 报告 等 ,还 考虑 到 通信 线路 状况 和 以 前 的 名 誉 分 值 。 当 某 个 节点 出 现 自私 
行为 或 其 他 恶意 行为 时 ,其 名 誉 分 值 会 逐渐 下 降 , 当 低 于 某 个 值 时 ,其 他 节点 会 拒绝 为 其 提 
供 服务 ,那样 就 会 将 自私 节点 排除 出 网 络 。 

这 类 方案 有 三 个 特点 ,其 一 采用 本 地 监视 技术 来 发 现 不 良 节点 。 其 二 通过 名 誉 值 来 评 
价 节点 。 其 三 通过 惩罚 不 良 节点 来 促使 节点 合作 。 


2.6.3 两 类 算法 的 比较 与 分 析 


为 了 实现 共同 的 目标 ,限制 节点 的 自私 行为 ,增强 节点 合作 ,提高 网 络 性 能 ,上 述 两 类 算 
法 采用 完全 不 同 的 方法 ,一 种 是 激励 的 方法 , 另 一 种 是 惩罚 的 方法 , 表 2-4 对 两 类 算法 进行 
了 比较 。 


无 线 自 组 织 网 络 和 对 等 网 络 原理 与 安全 


表 2-4 基于 激励 的 机 制 算法 与 基于 惩罚 的 机 制 算法 的 比较 


算法 分 类 基于 激励 的 机 制 基于 惩罚 的 机 制 

理论 基础 博弈 论 

实现 手段 虚拟 货币 邻居 监视 

主要 思想 以 虚拟 货币 作为 节点 合作 的 奖赏 ,鼓励 | 以 被 排出 网 络 作为 不 合作 的 惩罚 ,鞭策 节 
转发 报 文 点 参与 网 络 功能 

基本 原理 节点 转发 报 文 后 , 即 可 得 筹码 或 虚拟 货 | 邻居 相互 监视 ,发 现 不 良 行为 的 节点 , 则 将 
币 用 于 自己 报 文 的 发 送 被 排除 出 网 络 

优点 算法 简单 纯 软 件 实现 ,无 需 硬件 支持 

缺点 需要 硬件 支持 邻居 监视 并 不 完全 有 效 


上 述 算法 存在 问题 及 改进 方法 如 下 : 

(1) 基于 激励 的 机 制 算法 存在 的 主要 问题 是 需要 额外 的 硬件 支持 其 协议 的 执行 。 前 两 
种 方案 需要 在 每 一 个 节点 安装 安全 卡 用 来 存储 信息 ,以 防 用 户 修改 ,后 一 种 方案 需要 使 用 网 
络 之 外 的 设备 来 统一 存储 每 个 节点 的 筹码 信息 。 这 些 设备 的 使 用 会 限制 网 络 的 扩展 性 和 应 
用 范围 。 例 如 多 个 管理 域 的 网 络 中 用 户 若 不 同意 安装 安全 卡 ,就 无 法 运行 前 两 种 协议 。 无 
线 自 组 织 网 络 布置 于 没有 移动 通信 支持 的 场合 ,后 一 种 方案 就 无 法 实施 。 其 解决 方法 应 该 
采用 纯 软 件 的 方法 来 实现 整个 算法 ,对 于 筹码 信息 的 管理 可 设计 专门 的 代理 运行 于 每 个 节 
点 内 ,代理 独立 于 用 户 运 行 , 设 立 安全 措施 防止 用 户 更 改 数据 。 

(2) 基于 惩罚 的 机 制 算 法 中 存在 邻居 节点 监视 的 有 效 性 问题 。 基 于 惩罚 的 机 制 主要 使 
用 本 地 邻居 监视 的 方法 来 发 现 不 良 行为 ,但 无 线 自 组 织 网 络 具有 多 变 的 拓扑 和 不 稳定 的 无 
线 通信 的 特征 ,这 使 得 有 效 检测 自私 节点 变 得 十 分 困难 。 节 点 可 能 由 于 线路 和 电源 等 故障 
而 无 法 转发 报 文 , 被 认定 为 自私 节点 。 解 决 这 种 问题 可 采用 多 种 参数 综合 评价 的 方法 , 例 
如 ,将 一 个 节点 的 名 誉 值 与 其 过 去 的 行为 相关 ,如 果 一 个 节点 过 去 行为 一 直 良 好 ,近期 突然 
不 转发 报 文 了 ,并 不 立即 认定 其 为 不 良 节点 ,也 许 是 线路 故障 ,需要 等 待 一 段 时 间 再 作 评 价 。 

(3) 标识 的 有 效 性 问题 。 无 线 自 组 织 网 络 中 节点 可 不 断 变动 其 位 置 。 当 在 某 处 被 邻居 
认定 为 自私 的 节点 而 被 排除 出 网 络 , 它 可 移动 到 新 的 地 点 ,通过 改变 节点 标识 ,又 可 重新 加 
入 网 络 。 解 决 这 种 问题 可 采用 两 种 方式 ,一 种 是 利用 用 户 公 钥 来 生成 用 户 标识 , 另 一 种 是 直 
接 利 用 标识 作为 用 户 的 公 钥 。 这 两 种 方式 都 能 防止 用 户 随 意 改变 其 标识 。 


2.7 小 结 


由 于 无 线 自 组 织 网 络 的 独特 结构 ,使 得 常规 的 安全 方案 无 法 应 用 ,必须 针对 其 特点 设计 
专门 的 安全 解决 方案 。 本 文 从 密 钥 管 理 、 路 由 安全 、 入 侵 检测 、 增 强 合 作 几 个 方面 介绍 了 应 
用 于 无 线 自 组 织 网 络 的 安全 解决 方案 。 首 先 讨 论 了 密 钥 管理 ,主要 介绍 了 自 组 织 的 密 钥 管 
理 和 分 布 式 的 密 钥 管 理 两 类 算法 ,指出 了 其 优点 和 缺点 。 然 后 分 析 了 五 种 典型 的 路 由 安全 
协议 ,对 它们 进行 了 综合 比较 并 指出 其 存在 问题 及 改进 方法 。 接 下 来 说 明了 基于 代理 的 分 
布 式 监视 合作 检测 的 入 侵 检测 体系 结构 。 最 后 讨论 了 基于 激励 和 基于 惩罚 的 两 种 增强 合作 
的 机 制 。 

无 线 自 组 织 网 络 安 全 的 研究 是 一 个 年 轻 而 又 迅速 发 展 的 领域 ,总 体 来 说 ,下 一 步 发 展 应 
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包括 以 下 几 个 方面 : 

(1) 进一步 提高 性 能 ,降低 算法 对 资源 的 要 求 。 无 线 自 组 织 网 络 中 节点 本 身 的 计算 能 
力 和 电池 能 量 都 十 分 有 限 , 还 要 参与 网 络 交换 。 网 络 安全 作为 网 络 正常 运行 的 一 种 保障 ,不 
应 该 也 不 允许 占用 节点 大 量 的 资源 ,不 能 因为 增加 了 安全 措施 ,降低 了 网 络 性 能 ,影响 了 网 
络 的 正常 运行 。 应 该 设计 和 采用 一 些 对 资源 要 求 少 的 算法 ,如 : 使 用 本 地 认证 取代 分 布 式 
的 认证 ,用 对 称 密 钥 取代 公开 密 钥 等 。 

(2) 增强 协议 的 可 扩展 性 。 有 些 协议 在 节点 数目 较 少 时 ,性 能 还 可 以 , 当 节点 数目 增加 
时 ,其 性 能 会 明显 下 降 。 如 : 自 组 织 的 密 钥 管 理 当 网 络 扩大 时 ,证书 数 据 库 的 形成 .维护 和 
认证 的 花费 会 明显 增加 。 算 法 在 设计 时 ,就 应 考虑 到 其 可 扩展 性 。 

(3) 安全 方案 应 具有 自 适 应 可 调整 的 特性 。 安 全 方案 不 应 该 是 固定 的 , 它 应 该 具有 自 
适应 的 性 能 ,根据 网 络 的 资源 状况 调整 其 功能 ,资源 充足 时 ,功能 强 一 些 , 反 之 则 功能 减少 一 
些 , 也 可 以 将 一 些 占 有 资源 较 多 的 功能 模块 分 布 到 一 些 资源 多 、 性 能 好 的 节点 上 去 ,使 得 整 
个 网 络 负载 均衡 。Jiejun Kong 等 人 在 这 方面 进行 了 一 些 研 究 ,提出 了 一 种 自 适应 的 安全 方 
案 559 。 平 时 ,利用 无 人 飞机 上 的 节点 来 实现 集中 的 CA 或 KDC, 因 为 飞机 上 的 节点 资源 相 
对 充足 。 战 时 , 当 无 人 飞机 被 摧毁 时 ,集中 的 CA 或 KDC 自动 转化 为 分 布 式 的 ,由 7 个 移动 
节点 承担 。 虽 然 性 能 会 有 所 降低 ,但 仍然 能 保证 整个 网 络 的 安全 运行 。 

(4) 提供 对 多 播 的 安全 保护 。 多 播 的 应 用 能 够 有 效 地 减少 网 络 流量 ,特别 适用 于 军事 
指挥 网 络 。 现 行 大 多 数 的 安全 方案 只 停留 在 如 何 保护 路 由 信息 的 完整 性 ,如 何 实现 对 单个 
节点 的 认证 ,没有 考虑 如 何 实现 对 多 播 的 安全 支持 。 只 有 少数 文献 [51,52] 论 述 了 安全 的 多 
播 , 对 无 线 自 组 织 网 络 环境 下 的 安全 多 播 的 研究 还 很 不 完善 ,需要 进一步 发 展 。 

(5) 在 无 线 自 组 织 网 络 安全 的 研究 领域 内 ,除了 本 文 论述 的 五 个 主要 的 研究 方面 ,还 有 
许多 新 领域 有 待 于 去 拓展 : 

CD 如 何 保护 节点 通信 量 和 位 置 的 信息 。 通 过 通信 量 的 分 析 能 够 确定 网 络 中 节点 的 角 
色 ,再 确定 节点 的 位 置 ,就 可 将 攻击 指向 网 络 的 要 害 , 如 网 控 中 心 、 集 中 的 CA 或 军事 指挥 网 
中 指挥 员 等 。 

@ 各 种 针对 中 路 由 协议 的 攻击 及 对 策 。 如 : wormhole、rushing 攻击 等 ,因为 无 线 自 组 
织 网 络 的 复杂 性 ,也许 还 存在 许多 新 类 型 的 攻击 尚未 发 现 。 

© 路 由 安全 算法 研究 主要 集中 在 DSR, AODV ,DSDV 路 由 协议 上 ,还 应 拓展 其 范围 ， 
设计 一 些 其 他 路 由 安全 算法 ,如 基于 位 置 的 路 由 安全 协议 .基于 能 量 的 路 由 安全 协议 .层次 
路 由 安全 协议 等 。 

CD 链 路 层 和 高 层 的 安全 协议 的 研究 。 

C) 如 何 实 现 网 络 的 存 取 控制 。 


参考 文献 


[1] Macker C J. Mobile Ad hoc Networking (MANET); Routing Protocol Performance Issues and 
Evaluation Considerations, RFC 2501,January 1999. 

[2] Buttyan L. Hubaux J P. Report on a Working Session on Security in Wireless Ad hoc Networks. 
Mobile Computing and Communications Review, 2002.6(4). 


38 


无 线 自 组 织 网 络 和 对 等 网 络 原理 与 安全 


[12] 


[13] 


[14] 


[15] 


[16] 


[22] 


[3] Hu Y C, Adrian Perrig, Johnson D B. Ariadne: A secure On-Demand Routing Protocol for Ad hoc 


Networks, in Proceedings of the MobiCom, Atlanta .Georeia 2002 , September: 23-28. 
Papadimitratos P, Haas Z, Secure Routing for mobile Ad hoc Networks, in Proceedings of the SCS 
communication Networks and Distributed Systems Modeling and Simulation Conference, San Antonio, 
TX,2002; 27-31. 
Jean-Pierre Hubaux, Levente Buttyan, Srdjan Capkun. The Quest for Security in Mobile Ad hoc 
Networks, In Proceedings of the 2001 ACM International Symposium on Mobile Ad hoc Networking 
&. computing 2001, Long Beach. CA, USA. 
Srdjan Capkun, Levente Nuttyan, Jea-Pierre, Self-organized Public-Key Management for Mobile Ad 
hoc Networks, IEEE Transactions on mobile computing, 2003,2(1). 
Zimmermann P. The Official PGP User's Guide. MIT Press,June 1995. 
Desmedt Y. Threshold cryptography, European Transactions on Telecommunications, July-August 
1994,5(4) : 449-457. 
Lidong Zhou, Haas Z J. Securing Ad hoc Networks, IEEE Networks Special Issue on Network 
Security, November/December, 1999. 
Ostrovsky R,M Yung. How to Withstand Mobile Virus Attacks, In Proceedings of the 10th ACM 
Symposium on Principles of Distributed Computing, 1991: 51-59. 
Jiejun Kong, Petros Zerfos, Haiyun Luo,et al. Providing Robust and Ubiquitous Security Support for 
Mobile Ad-hoc Networks, IEEE 9th International Conference on Network Protocols (ICNP? 01), 
2001. 
Luo Haiyun, Kong Jiejun, Petros Zerfos. et al, Self-securing Ad hoc Wireless Networks, In 
Proceedings of the Seventh IEEE Symposium on Computers and Communications (ISCC'02). 

Aram Khalili, Jonathan Katz, William Arbaugh. Towards Security Solutions for Truly Ad-hoc 
Networks, IEEE Workshop on Security and Assurance in Ad hoc Networks. in Conjunction with the 
2003 International Symposium on Applications and the Internet, Orlando, FL, January 28,2003. 
Douceur J. The Sybil attack, In Proceedings of the lst International Workshop in Peer-to-Peer 
Systems(IPTPS) . 2002. 

Frank Stajano, Ross Anderson. The Resurrecting Duckling: Security Issues for Ad-hoc Wireless 
Networks, In Proceedings of the 7th International Workshop on Security Protocols (1999), LNCS 
1796 , Springer-Verlag, Berlin Germany, April 1999. 

Akyildiz I F, Su W.Sankarasubramaniam Y ,et al. Wireless Sensor Networks: A Survey, Computer 
Networks, 2002 ,38(4); 393-422. 

Asokan N, Philip Ginzboorg. Key agreement in Ad hoc Networks,Computer Communications, 2000, 
23: 1627-1637. 

Klaus Becker, Uta Wille, Communication Complexity of group key distribution, In 5th ACM 
Conference on Computer and Communications Security. 

Zheng Yan. Security in Ad hoc Networks, http: //citeseer. nj. nec. com/536945. html. 

Srdjan Capkun, Jean-Pierre Hubaux, Levente Buttyan. Mobility Helps Security in Ad hoc Networks. 
The Fourth ACM International Symposium on Mobile Ad hoc Networking and Computing 
Annapolis. Maryland, USA 2003: 1-3. 

Tuomas Aural, Silja Maki. Towards a Survivable Security Architecture for Ad-hoc Networks, 
Microsoft Research, Lecture Notes in Computer Science 2002,2467(0302; 9743). 

Dasgupta P. Gokhale S. Distributed Authentication for Peer to Peer Networks. IEEE Workshop on 
Security and Assurance in Ad hoc Networks. In Conjunction with The 2003 International Symposium 
on Applications and the Internet. Orlando. FL. January 28.2003. 


[23] 


[24] 


[25] 


[26] 


[27] 


[28] 


[29] 


[30] 


[31] 


[32] 


[37] 


[38] 


[39 


[40] 


[41] 


[42] 


第 2 章 无 线 自 组 织 网 络 安全 的 研究 进展 


Lakshmi Venkatraman, Agrawal D P. A Novel Authentication scheme for Ad hoc Networks, Wireless 
Communications and Networking Conference (WCNC 2000) IEEE. Pages 1268-1273,3. 

Johnson D B, Maltz D A, Hu Y C. The Dynamic Source Routing Protocol for Mobile Ad hoc 
Networks (DSR) , INTERNET-DRAFT, draft-ietf-manet-dsr-10. txt,19 July 2004. 

Perkins C, Belding-Royer E, Das S. Ad hoc On-Demand Distance Vector (AODV) Routing, 
RFC3561,July 2003. 

Perkins C E, Bhagwat P. Highly Dynamic Destination Sequenced Distance- Vector Routing (DSDV) 
for mobile computers, The ACM SIGCOMM Conference on Communications Architectures, 
London, 1994, 

Buttyán L, Hubaux J P. Stimulating Cooperation in Self-Organizing Mobile Ad hoc Networks, ACM 
Journal for Mobile Networks( MONET) ,Special Issue on Mobile Ad hoc Networks,summer 2002. 
Sergio Marti,Giuli T J, Kevin Lai, et al. Mitigating routing misbehavior in mobile Ad hoc networks. 
In Proceedings of the Sixth International Conference on Mobile Computing and Networking 
(Mobicom) , Boston, August 2000, 

Hu Y C,Perrig A,Johnso D B. Wormhole Detection in Wireless Ad hoc Networks, Technical Report 
TRO1-384, Department of Computer Science, Rice University, December 2001. 

Perrig A, Canetti R, Song D, et al. Efficient and Secure Source authentication for multicast, in 
Proceedings of Network and Distributed System Security Symposium, February 2001: 35-46. 
Kimaya Sanzgiri, Bridget Dahill, Brian Neil Levine, et al. A Secure Routing Protocol for Ad hoc 
Networks, In Proceedings of 2002 IEEE International Conference on Network Protocols (ICNP), 
November 2002. 

Hu Y C, Johnson D B. Adrian Perrig. SEAD: Secure Efficient Distance Vector Routing for Mobile 
Wireless Ad hoc Networks, in Proceedings of the 4th IEEE Workshop on Mobile Computing Systems 
& Applications (WMCSA 2002) pp. 3-13, IEEE; Calicoon. NY ,June 2002. 

Rivest R L. The MD5 Message-Digest Algorithm, RFC1321 , April 1992. 

Manel Guerrero Zapata, Secure Ad hoc On-Demand Distance Vector Routing. ACM Mobile 
Computing and Communications Review (MC2R) Vol 6. No. 3,pp. 106-107,July 2002. 

Manel Guerrero Zapata, Asokan N. Securing Ad-hoc Routing Protocols, In Proceedings of the 2002 
ACM Workshop on Wireless Security (WiSe 2002) . pages 1-10. September 2002. 

Papadimitratos P, Haas Z J. Secure Link State Routing for Mobile Ad hoc Networks, IEEE Workshop 
on Security and Assurance in Ad hoc Networks. In Conjunction with The 2003 International 
Symposium on Applications and the Internet, Orlando, FL, January 28,2003. 

Haas Z J,Pearlman M R. The Performance of query control schemes for the Zone Routing Protocol, 
ACM/IEEE Trans. net.2001,9(4) : 407-438. 

Hu Y C, Perrig A, Johnso D B. Packet Leashes: A Defense against Wormhole Attacks in Wireless 
Networks,in Proceedings of the Twenty-second Annual Joint Conference of the IEEE Computer and 
Communications Societies. INFOCOM 2003) , IEEE, San Francisco. CA , April, 2003. 

Zhang Y G.Lee W K. Intrusion Detection in Wireless Ad-hoc Networks.in Proceedings of The Sixth 
International Conference on Mobile Computing and Networking ( MobiCom 2000), Boston, MA, 
August 2000. 

Zhang Y G, Lee W K. Intrusion Detection Techniques for Mobile Wireless Networks, Mobile 
Networks and Applications, 2003. 

Oleg Kachirski. Ratan Guha, Intrusion Detection Using Mobile Agents in Wireless Ad hoc Networks, 
IEEE Workshop on Knowledge Media Networking (KMN’02). 


Tseng C Y. Poornima Balasubramanyam. Calvin Ko: et al. A Specification-Based Intrusion Detection 


无 线 自 组 织 网 络 和 对 等 网 络 原理 与 安全 


[43] 


[44] 


[45] 


[46] 


[47] 


[48] 


[49] 


[50] 


[51] 


[52] 


System For AODV,2003 ACM Workshop on Security of Ad hoc and Sensor Networks (SASN'03) 
October 31 2003,George W. Johnson Center at George Mason University, Fairfax, VA, USA. 
Michiardi P. Molva R. Simulation-based Analysis of Security Exposures in Mobile Ad hoc Networks. 
in Proceedings of European Wireless Conference 2002. 

Levente Buttyan, Jean-Pierre Hubaux. Enforcing Service Availability in Mobile Ad-hoc WANs, In 
Proceedings of the IEEE/ACM Workshop on Mobile Ad hoc Networking and Computing 
(MobiHOC) ‚Boston, MA, USA, August 2000. 

Zhong Sheng, Chen Jiang. Yang Richard Yang. Sprite: A Simple, Cheat-proof, Credit-Based System 
for Mobile Ad-hoc Networks, in Proceedings of the Twenty-Second Annual Joint Conference of the 
IEEE Computer and Communications Societies (INFOCOM 2003), IEEE, San Francisco, CA, 
April 2003. 

Sergio Marti, Giuli T J, Kevin Lai, et al. Mitigating Routing Misbehavior in Mobile Ad hoc Networks. 
In Proceedings of the Sixth International Conference on Mobile Computing and Networking 
(Mobicom) , Boston, August 2000, 

Sonja Buchegger, Jean-Yves Le Boudec. Performance Analysis of the CONFIDANT Protocol: 
Cooperation Of Nodes-Fairness In Distributed Ad-hoc NeTworks In Proceedings of IEEE/ACM 
Workshop on Mobile Ad hoc Networking and Computing ( MobiHOC), EPFL Lausanne, 
Switzerland, June 2002. 

Sonja Buchegger, Le Boudec J Y. Nodes Bearing Grudges: Towards Routing Security, Fairness, and 
Robustness,in Mobile Ad hoc Networks 10th Euromicro Workshop on Parallel, Distributed and 
Network-based Processing, Canary Islands, Spain, January 2002. IEEE Computer Society. 

Pietro Michiardi. Refik Molva. Core; A COllaborative REputation mechanism to enforce node 
cooperation. in Mobile Ad hoc Networks in Communication and Multimedia Security 2002 
Conference. 

Kong J J, Haiyun Luo, Kaixin Xu,et al. Adaptive Security for Multilevel Ad hoc Networks, Wireless 
Communications and Mobile Computing, 2002,2(5): 533-547. 

Kaya T.Lin G,Noubir G,et al. Secure Multicast Groups on Ad hoc Networks In Proceedings of the 
2003 ACM Workshop on Security of Ad hoc and Sensor Networks (SASN 03), October 31,2003 
George W. Johnson Center at George Mason University, Fairfax, 2003. 

Loukas Lazos, Radha Poovendran. Energy-Aware Secure Multicast Communication in Ad-hoc 
Networks Using Geographic Location Information, IEEE International Conference on Acoustics 
Speech and Signal Processing, 2003 ,6-10. 


第 3 章 无 线 自 组 织 网 络 安全 架构 


摘要 : 无 线 自 组 织 网 络 是 一 种 完全 由 移动 主机 构成 的 网 络 , 它 具有 自 组 
织 无 中 心 的 特点 。 这 些 特点 使 得 常规 安全 系统 难以 应 用 。 本 文 借鉴 免疫 系 
统 的 思想 ,采用 多 代理 来 模拟 实现 淋巴 细胞 的 免疫 功能 ,设计 了 一 个 适用 于 
无 线 自 组 织 网 络 的 安全 架构 ,实现 了 对 整个 网 络 的 入 侵 检 测 和 入 侵 响 应 , 同 
时 还 具有 学 习 机 制 、 分 布 式 、 自 适应 等 特点 。 最 后 ,通过 实例 分 析 冰 明了 安全 
架构 的 有 效 性 。 

关键 字 : 无 线 自 组 织 网 络 、 网 络 安全 、 人 工 免 疫 系统 、 移 动 代理 、 入 侵 
检测 。 


无 线 自 组 织 网 络 作 为 一 种 新 型 的 移动 多 跳 无 线 网 络 中 ,与 传统 的 无 线 网 
络 不 同 , 它 不 依赖 于 任何 固定 的 基础 设施 和 管理 中 心 , 而 是 通过 传输 范围 有 
限 的 移动 节点 间 的 相互 协作 和 自我 组 织 来 保持 网 络 连接 和 实现 数据 的 传递 。 

无 线 自 组 织 网 络 的 特点 对 其 安全 方案 提出 一 些 独 特 的 要 求 : 

CL) 不 但 要 抵抗 外 界 攻 击 ,而 且 能 阻止 内 部 的 进攻 。 无 线 自 组 织 网 络 的 
一 个 主要 特点 是 节点 的 移动 性 ,网 络 如 果 布置 于 战场 环境 或 其 他 未 受 保护 的 
地 域 , 则 可 能 造成 节点 落 和 人 政 方 或 攻击 者 的 手中 ,节点 的 一 些 资料 ,如 密 钥 
等 ,就 会 被 攻击 者 获得 。 这 样 就 会 导致 攻击 者 以 网 络 成 员 的 身份 从 内 部 发 起 
进攻 。 

(2) 安全 方案 必须 是 分 布 式 的 。 无 线 自 组 织 网 络 本 身 就 是 自 组 织 的 , 没 
有 中 心 控制 节点 ,增加 任何 集中 的 控制 或 安全 服务 器 都 将 导致 单 点 失败 。 

(3) 发 现 人 侵 者 后 ,应 及 时 将 其 孤立 起 来 并 排除 出 网 络 , 以 减少 对 网 络 的 
攻击 。 以 上 这 些 要 求 使 得 一 些 常规 的 安全 策略 不 能 很 好 地 发 挥 作 用 。 

现 阶 段 在 无 线 自 组 织 网 络 安全 技术 研究 主要 分 为 四 个 方面 : 

CL) 密 钥 的 管理 与 认证 。 研 究 在 无 线 自 组 织 网 络 中 无 中 心 自 组 织 的 情况 
下 ,如何 实现 密 钥 的 分 配 , 如 何 实现 相互 认证 ,主要 采用 两 种 方式 ,基于 门限 
密 钥 的 管理 方案 中 和 基于 PGP 的 自 组 织 的 认证 品 。 

(2) 路 由 安全 方案 ,研究 如 何 对 路 由 协议 提供 安全 技术 ,对 路 由 协议 中 的 
报 文 提供 完整 性 .认证 等 安全 保障 ,防止 恶意 复 改 的 发 生 " 宁 。 
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G) 入 侵 检测 ,研究 如 何在 网 络 运行 中 及 时 发 现 恶意 节点 的 入 侵 ,通常 采用 邻居 监视 ， 
合作 检测 的 方法 中 。 

(4) 增强 合作 ,研究 防止 节点 为 了 节省 自己 的 能 源 , 不 参与 网 络 交换 ,主要 采用 两 种 机 
Jp. 基于 惩罚 的 机 制 , 利 用 邻居 监视 ,不 参与 网 络 交换 将 被 排除 出 网 络 。 基 于 奖励 的 机 
制 ,节点 转发 报 文 就 给 与 虚拟 货币 作为 奖励 ,只 有 持 有 货币 才能 发 送 自己 的 报 文思。 上 述 
针对 无 线 自 组 织 网 络 的 安全 技术 存在 一 些 不 足 之 处 ,前 两 种 技术 , 密 钥 的 管理 和 路 由 安全 只 
能 被 动 阻止 人 侵 , 不 能 发 现 人 侵 者 ,第 三 种 技术 入侵 检测 ,虽然 能 发 现 人 侵 者 ,但 不 能 清除 入 
侵 者 。 上 述 方案 都 没有 任何 学 习 机 制 。 

人 体 的 免疫 系统 是 人 体 的 安全 保障 系统 ,是 一 个 高 度 进化 的 生物 系统 , 它 旨 在 区 分 外 部 
有 害 病原 体 ( 抗 原 ) 和 自身 组 织 ,从 而 清除 抗原 并 保持 有 机 体 的 稳定 。 从 信息 处 理 的 角度 来 
看 ,生物 免疫 系统 是 一 个 高 度 并 行 、 分 布 、 自 适应 和 自 组 织 的 系统 ,具有 很 强 的 学 习 、 识 别 、 记 
忆 和 特征 提取 能 力 ,不 但 能 够 识别 抗原 而 且 清 除 抗原 ,维护 人 体 整 个 系统 功能 的 正常 运转 。 
网 络 安全 系统 也 应 是 一 个 能 够 识别 外 界 人 侵 者 ,保护 整个 网 络 正 常 运行 的 系统 。 两 者 具有 
很 多 相似 性 ,因此 ,本 文 借鉴 人 体 免疫 系统 的 思想 ,针对 无 线 自 组 织 网 络 设计 一 个 分 布 . 自 适 
应 的 安全 系统 架构 。 该 安全 架构 不 仅 实现 人 侵 检测 ,而 且 能 够 产生 入 侵 响 应 ,最 终 将 入侵 者 
排除 出 网 络 之 外 。 本 章 的 主要 创新 之 处 为 将 免疫 机 理 引 入 到 安全 架构 设计 之 中 ,提出 基于 
免疫 机 制 的 安全 架构 。 

Forrest? , Hofmeyr 和 Forrestn"" 中 将 免疫 机 制 引入 计算 机 领域 ,提出 了 一 个 分 布 式 
的 、 健 壮 的 、 自 适应 的 人 工 免疫 系统 架构 ,并 将 其 应 用 于 网 络 入 侵 检测 。 在 该 系统 中 ,免疫 细 
胞 被 定义 为 检测 集 。 检 测 集 是 由 一 定数 量 的 定 长 字符 串 组 成 。 检 测 是 通过 7 个 连续 们 字符 
串 匹 配 来 实现 的 。 通 过 文献 [12] 的 阴性 选择 算法 来 挑选 检测 集 。 用 于 入 侵 检测 时 ,检测 集 
是 源 地 址 \ 目 标 地 址 和 端口 号 所 形成 的 三 元 组 。 正常 的 网 络 连 接 三 元 组 为 自我 , 非 正常 的 网 
络 连接 为 非 我 ,通过 学 习 训 练 后 可 检测 非 正常 连接 来 识别 入 侵 。 该 系统 主要 适用 于 局 域 网 
内 的 入 侵 检 测 。Kim 和 Bentley 提出 了 一 个 基于 免疫 机 制 的 入 侵 检测 模型 ,该 模型 由 
三 种 算法 组 成 : 阴性 选择 、 克 隆 选 择 和 基因 库 进 化 。Dasgupta 中 提出 一 个 基于 代理 的 免疫 
入 侵 检测 系统 ,在 其 系统 中 ,具有 各 种 免疫 功能 的 代理 在 网 络 中 到 处 移动 ,合作 监视 网 络 运 
行 , 并 检测 已 知 和 未 知 的 人 侵 。J. S. Balasubramaniyan 等 人 提出 了 一 个 基于 多 代理 的 安全 
架构 一 一 AAFIDB9 。 它 是 一 个 层次 性 结构 ,底层 是 代理 负责 收集 各 种 网 络 信息 ,然后 发 给 
上 一 层 的 收发 器 ,收发 器 负责 管理 代理 并 处 理 从 代理 发 来 的 信息 。 最 上 层 是 监控 器 , 它 收 集 
从 各 个 收发 器 发 来 的 信息 ,综合 形成 整个 网 络 的 信息 ,并 与 用 户 交 互 。 该 方案 的 优点 是 采用 
多 代理 层次 结构 ,能 够 灵活 配置 。 它 的 缺点 是 对 信息 的 处 理 仍 然 是 集中 式 的 ,会 导致 大 量 的 
通信 和 负载 和 处 理 延 迟 。 上 述 几 种 方案 主要 是 在 固定 网 络 的 环境 下 实现 的 ,不 适用 于 无 线 自 
组 织 网 络 的 运行 环境 。 

本 章 借鉴 免疫 系统 的 思想 ,通过 不 同 的 代理 来 实现 各 种 免疫 细胞 的 机 制 , 如 监视 .匹配 、 
响应 等 ,各 种 代理 之 间 既 独立 工作 又 相互 联系 ,它们 无 需 外 界 的 控制 , 自 组 织 地 实现 了 对 整 
个 网 络 的 安全 监控 与 响应 ,同时 具备 免疫 系统 的 一 些 特点 ,如 学 习 , 识 别 和 记忆 性 ,并 行 和 分 
布 性 ,可 扩展 性 等 。 本 章 其 余部 分 如 下 安排 ,3. 2 节 简 述 免 疫 系 统 和 代理 的 原理 及 特点 ， 
3.3 节 论 述 了 安全 架构 的 组 成 及 各 种 代理 的 结构 和 功能 ,3. 4 节 进 行 了 实例 分 析 。3.5 节 讨 
论 了 安全 架构 的 特点 ,3.6 节 为 结束 语 。 
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3.2 免疫 系统 及 移动 代理 概述 


3.2.1 免疫 机 理 


本 节 简 要 介绍 免疫 的 基本 原理 ,主要 内 容 来 自 于 文献 [17 一 20]。 免 疫 系统 是 一 种 人 或 
动物 身体 防御 外 界 病原 体 入 侵 的 复杂 系统 ,其 主要 功能 是 识别 体内 组 织 的 细胞 ,将 其 归 类 为 
“自我 "和 “ 非 我 ”, 并 引发 适当 的 防卫 机 制 去 除 “ 非 我 "自我 对 应 于 机 体 自身 的 组 织 ; 非 我 
对 应 于 外 来 有 害 病原 或 者 体内 病变 组 织 , 也 称 抗原 。 免 疫 应 答 是 机 体 免 疫 系统 与 抗原 相互 
作用 的 表现 形式 , 指 免 疫 活性 细胞 对 抗原 的 识别 、 活 化 ,增殖 与 分 化 以 及 产生 抗体 ,并 与 抗原 
作用 ,将 其 破坏 、 清 除 的 过 程 。 

免疫 系统 由 固有 免疫 和 获得 性 免疫 组 成 。 固 有 免疫 是 人 体 抵抗 外 界 病原 体 入 侵 的 第 一 
道 防线 , 它 由 皮肤 和 吞噬 细胞 组 成 。 固 有 免疫 为 机 体 先天 获得 ,可 抵抗 一 些 常 见 病原 体 , 同 
时 为 获得 性 免疫 应 答 赢 得 时 间 。 获 得 性 免疫 是 第 二 道 防线 , 它 主要 由 淋巴 细胞 组 成 。 它 能 
够 识别 特定 的 抗原 ,并 产生 针对 性 的 免疫 反应 ,并 能 够 记忆 以 前 遇 到 过 的 抗原 ,在 以 后 如 果 
有 类 似 抗原 入 侵 体内 ,会 产生 快速 而 有 效 的 反应 。 淋 巴 细胞 又 分 为 B 细胞 和 了 细胞 两 种 。 
B 细胞 的 主要 功能 是 产生 抗体 ,与 抗原 结合 并 将 抗原 清除 出 体外 。T 细胞 的 主要 功能 是 识 
别 抗原 并 调节 其 他 细胞 对 抗原 实施 攻击 。 

免疫 识别 是 免疫 系统 的 主要 功能 ,识别 的 本 质 是 区 分 “自我 和 * 非 我 "。 免 疫 识别 是 通 
过 淋巴 细胞 上 的 抗原 识别 受 体 与 抗原 的 结合 实现 的 。 免 疫 识 别 过 程 同时 也 是 一 个 学 习 的 过 
程 ,学 习 的 结果 是 免疫 细胞 能 够 将 抗原 的 特征 提取 ,并 且 最 优 个 体 以 免疫 记忆 的 形式 得 到 保 
存 。 免 疫 学 习 大 致 可 分 为 两 种 : 一 种 发 生 在 遇 到 新 的 抗原 阶段 , 即 免疫 系统 首次 识别 一 种 
新 的 抗原 时 ,其 应 答 时 间 相 对 较 长 ,淋巴 细胞 需要 一 定 的 时 间 进 行 调整 以 更 好 地 识别 抗原 ， 
并 在 识别 结束 后 以 最 优 抗体 的 形式 保留 对 该 抗原 的 记忆 信息 。 而 当 免疫 系统 再 次 遇 到 相同 
或 者 结构 相似 的 抗原 时 ,在 联想 记忆 的 作用 下 ,其 应 答 速 度 大 大 提高 。 并 且 产 生 针对 性 的 抗 
体 去 除 病原 ,这 个 过 程 是 一 个 增强 式 学 习 过 程 , 对 应 于 再 次 应 答 。 

免疫 响应 可 分 为 三 个 阶段 : 

(1) 免疫 识别 阶段 。 当 外 界 抗 原 进 入 体内 时 ,首先 进行 由 淋巴 中 的 工 细 胞 进行 免疫 识 
别 , 识 别 是 通过 淋巴 细胞 上 不 同 的 抗原 识别 受 体 与 抗原 的 结合 来 实现 的 。 如 果 以 前 识别 过 
类 似 抗原 并 保留 了 信息 ,T 细胞 的 记忆 受 体 就 会 很 快 与 抗原 结合 ,实现 免疫 识别 。 

(2) 抗体 产生 阶段 。 如 果 工 细胞 识别 了 抗原 , 它 会 被 激活 并 产生 激素 ,去 激活 B 细胞 
繁殖 并 产生 大 量 抗体 。 

(3) 抗原 消除 阶段 。B 细胞 产生 的 抗体 与 抗原 结合 ,破坏 了 抗原 的 活性 ,使 其 分 解 排 出 
体外 。 抗 原 的 刺激 信息 消失 ,免疫 响应 结束 ,免疫 系统 恢复 到 正常 状态 。 


3.2.2 移动 代理 简介 


移动 代理 是 为 了 达到 某 个 特定 的 目标 ,在 对 外 部 环境 的 相互 作用 基础 上 ,通过 对 环境 状 
态 的 认识 以 及 和 其 他 代理 的 协作 ,自主 地 推进 问题 解决 的 处 理 单位 。 移 动 代理 具有 以 下 
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D 自主 性 。 代 理 拥 有 内 部 自治 机 制 和 问题 解决 机 制 ,能 够 控制 自己 的 行为 和 内 部 状 
态 。 无 需 外 界 的 指令 即 可 根据 自己 的 知识 和 收集 到 的 信息 进行 判断 和 行为 。 

(2) 协作 性 。 代 理 之 间 相 互通 信 合 作 , 共 同 完成 某 项 任务 。 

(3) 反应 性 。 代 理 能 够 根据 网 络 环境 的 变化 做 出 适当 的 调整 ,具有 自 适应 能 力 。 

(4) 移动 性 。 代 理 能 够 自主 地 通过 网 络 从 一 台 主 机 移动 到 另 一 台 主 机 。 

从 移动 代理 的 特点 来 看 , 它 具 有 免疫 系统 中 淋巴 细胞 的 基本 特征 ,用 移动 代理 来 模拟 免 
疫 细胞 ,更 容易 实现 其 免疫 功能 。 


3.3 安全 架构 


3.3.1 总 体 结构 


在 免疫 系统 中 ,淋巴 工 细胞 .B 细胞 以 及 胸腺 、 骨 角形 成 一 个 复杂 的 系统 。 胸 腺 产生 的 
TT 细胞 和 骨髓 产生 的 B 细胞 随 血液 在 全 身 循环 流动 ,监视 机 体 组 织 情况 ,一 旦 有 病原 体 人 
侵 时 ,T 细胞 发 现 抗原 并 激发 B 细胞 产生 抗体 ,最 终 抗体 与 病原 体 结合 并 清除 于 体外 。 我 
们 可 利用 不 同 代理 来 模拟 实现 不 同 的 淋巴 细胞 。 相 对 于 不 同类 型 的 淋巴 细胞 ,我 们 将 系统 
中 的 代理 分 类 为 监视 代理 ,决策 代理 和 攻击 代理 。 

监视 代理 驻 留 在 每 一 个 节点 内 监视 其 邻居 节点 的 行为 并 将 其 监视 所 获得 的 信息 编码 后 
发 往 决 策 代 理 。 决 策 代理 收集 区 域内 每 个 监视 代理 收 到 的 发 来 的 监视 信息 ,将 其 综合 ,形成 
某 个 节点 一 段 时 期 内 的 行为 序列 ,再 与 免疫 记忆 和 路 由 协议 进行 对 比 ,做 出 判断 。 如 果 发 现 
入 侵 者 ,决策 代理 将 产生 大 量 攻 击 代理 。 这 些 攻击 代理 移动 并 驻 留 人 侵 者 周围 的 节点 ,形成 
一 道 防火 墙 将 入 侵 者 包围 隔离 ,同时 将 其 链 路 断 开 ,阻止 其 任何 报 文 的 发 送 与 接收 。 图 3-1 
显示 总 体 结构 的 三 个 关键 组 成 部 分 : 监视 代理 ,决策 代理 和 攻击 代理 ,以 及 它们 相互 之 间 的 
关系 。 


决策 代理 =) 


监视 代理 攻击 代理 


i l 


Mobile Ad hoc Network 


图 3-1 系统 结构 图 


3.3.2 监视 代理 构成 


监视 代理 类 似 于 免疫 系统 中 工 细 胞 , 它 位 于 每 个 节点 上 ,负责 收集 其 周围 邻居 节点 的 
行为 信息 并 发 送 给 决策 代理 。 对 于 新 加 入 节点 ,邻居 节点 的 监视 代理 复制 一 份 并 将 其 移入 
新 节点 。 监 视 代理 内 部 有 监听 、 过 滤 、 编 码 和 通信 四 个 功能 模块 ,图 3-2 显示 其 基本 结构 。 

监听 模块 负责 收集 其 所 能 收 到 所 有 邻居 节点 的 通信 内 容 。 因 为 无 线 通信 是 无 方向 性 
的 ,任何 在 其 通信 范围 内 的 节点 均 可 收 到 其 信息 ,所 以 双方 的 通信 能 够 被 第 三 方 监 听 。 但 是 
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监听 所 收 到 的 信息 量 很 大 ,不 可 能 也 没 必 要 将 所 有 信息 都 发 往 
决策 代理 。 首 先 过 滤 模 块 对 监听 收 到 的 初始 信息 进行 过 滤 ,将 
一 些 不 必要 的 信息 进行 滤 除 ,比如 用 于 节点 之 间 保 持 连接 的 
hello 报 文 就 可 过 滤 掉 。 其 次 ,编码 模块 负责 对 过 滤 后 的 重要 信 
息 进行 压缩 编码 。 这 样 可 大 大 减少 代理 之 间 的 通信 和 量 。 可 采用 


下 列 数 字 对 网 络 行为 进行 编码 。 


t 1 代表 邻居 节点 发 送 RREQ; 


2 代表 邻居 节点 收 到 RREQ; 
3 代表 邻居 节点 发 送 RREP; 
A 代表 邻居 节点 收 到 RREP; 
5 代表 邻居 节点 发 送 RRER; 
6 代表 邻居 节点 收 到 RRER; 
7 代表 邻居 节点 发 送 DATA; 


图 3-2 监视 代理 的 结构 


。 8 代表 邻居 节点 收 到 DATA. 
节点 对 周围 邻居 节点 行为 编码 后 记录 下 来 ,例如 , 某 个 节点 对 邻居 节点 ABYC 的 行为 


记录 如 下 : 


A; 21214343 B; 87878787 C; 2244688 
通信 模块 将 这 些 编码 后 监视 信息 发 送 到 决策 代理 。 


3.3.3 决策 代理 构成 


决策 代理 类 似 于 免疫 系统 中 B 细胞 , 它 是 整个 安全 架构 的 核心 ,担负 着 信息 的 收集 、 判 
断 ` 攻 击 代理 产生 等 任务 。 与 此 类 似 ,免疫 系统 的 淋巴 细胞 分 布 在 全 身 并 随 血 液 在 全 身 循环 
流动 ,对 整个 机 体 进 行 监视 。 决 策 代理 驻 留 在 节点 上 ,分 布 于 Ad hoc 网 络 的 各 处 并 随 Ad 
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图 3-3 决策 代理 的 结构 图 


hoc 节点 移动 对 整个 网 络 进行 监视 。 为 了 减少 对 系统 资源 
的 占用 ,决策 代理 不 需要 驻 留 在 每 一 个 节点 上 , 它 只 是 平均 
分 布 于 网 络 中 , 即 对 整个 无 线 自 组 织 网 络 按 区 域 划分 ,每 个 
决策 代理 负责 一 个 区 域 的 监控 。 决 策 代理 的 结构 可 分 为 三 
个 模块 两 个 数据 库 ,其 相互 关系 如 图 3-3 所 示 。 

通信 模块 ,用 于 与 监视 代理 进行 通信 ,收集 监视 代理 对 
邻居 节点 的 监视 信息 ,还 可 用 与 其 他 决策 代理 进行 通信 , 交 
换 免 疫 记 忆 信 息 。 分 析 模 块 ,用 于 对 监视 代理 发 来 的 各 节点 
信息 进行 综合 判断 ,首先 与 免疫 记忆 库 的 中 信息 进行 对 比 ， 
如 果 符 合 以 前 曾 遇 到 过 入 侵 者 行为 模式 ,就 可 直接 断定 为 人 
侵 者 ,这 里 采用 的 是 基于 特征 的 入 侵 检测 方法 ,检测 效率 和 


准确 率 都 比较 高 。 如 果 与 免疫 记忆 库 中 的 入侵 特征 不 相 匹 配 , 下 一 步 采用 基于 规范 的 和 人 侵 
检测 方法 ,从 策略 库 取 出 路 由 协议 规范 ,对 节点 行为 进行 判断 ,该 方法 能 检测 出 未 知 的 攻击 
行为 ,并 将 其 特征 存 入 免疫 记忆 库 。 如 果菜 个 节点 的 行为 只 有 少数 不 正常 , 则 不 一 定 是 入 侵 
节点 ,可 能 是 线路 故障 ,只 有 超过 一 定 的 次 数 才 判 定 为 人 侵 节点 。 免 疫 记 忆 库 中 存储 一 些 人 
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侵 节点 的 行为 特征 , 它 有 两 个 来 源 ,一 是 本 节点 的 以 前 的 一 些 判 断 结果 ,二 是 通过 交换 从 其 
他 决策 代理 的 免疫 记忆 库 取 来 的 信息 , 它 的 作用 与 免疫 系统 一 样 ,为 第 二 次 遇 到 类 似 入 侵 
时 ,提供 快速 的 识别 响应 。 图 3-4 显示 整个 处 理 过 程 。 


收 到 监视 代理 发 送 的 报 文 


Y 
与 免疫 记忆 比较 


不 相同 


相同 


1 
与 协议 规范 比较 


正常 


' 


产生 攻击 代理 


图 3-4 决策 代理 处 理 流程 


因为 无 线 自 组 织 网 络 的 节点 拓扑 是 动态 变化 的 ,无 法 建立 固定 的 某 个 监视 代理 向 决策 
代理 汇报 的 关系 ,同时 为 了 节省 有 限 的 网 络 无 线 信道 资源 ,监视 代理 也 不 能 采用 泛 洪 发 送 监 
视 报 文 的 方式 。 我 们 采用 查询 应 答 方式 ,每 个 监视 代理 只 是 被 动 地 监视 邻居 节点 的 行为 并 
将 其 记录 下 来 , 它 不 主动 发 送 报 文 ,只 是 等 待 决策 代理 的 查询 报 文 。 决 策 代理 定时 向 周围 节 
点 广播 查询 报 文 , 该 报 文 的 传输 范围 由 决策 代理 的 监视 范围 所 定 , 例 如 : 以 决策 代理 为 中 心 
一 跳 或 几 跳 的 通信 范围 。 当 监视 代理 收 到 查询 报 文 后 将 监视 收集 的 信息 发 回 决策 代理 。 决 
策 代理 收 到 各 监视 代理 的 报 文 后 进行 分 析 。 因 为 对 区 域内 每 个 监视 代理 的 信息 的 综合 ,所 
以 对 某 个 节点 的 监视 就 会 比较 完全 ,不 会 有 信息 遗漏 。 

对 节点 的 行为 分 析 ,主要 基于 路 由 协议 的 规范 ,采用 基于 规范 的 入侵 检测 方法 ,如 正常 
节点 在 接收 到 发 往 其 他 节点 的 报 文 应 该 及 时 转发 出 去 。 在 上 节 的 监视 信息 中 B 节点 为 
878787 ,说 明 其 接收 报 文 后 即 进行 了 转发 ,是 正常 网 络 操作 。C 节点 为 2244688 ,表示 CW 
点 只 收报 文 不 转发 报 文 ,不 是 正常 网 络 行为 。 当 某 个 节点 的 不 正常 行为 超过 了 一 定 的 限度 ， 
就 可 认定 为 其 为 恶意 节点 。 然 后 将 其 行为 的 特征 存 和 免疫 记忆 库 , 以 后 再 遇 到 同类 行为 时 ， 
就 可 及 时 发 现 。 

由 于 网 络 节点 的 动态 特性 , 某 个 区 域 的 决策 代理 可 能 由 于 节点 移动 .节点 退出 而 空缺 或 
决策 代理 遭 到 攻击 而 失效 。 这 时 ,监视 代理 就 收 不 到 决策 代理 的 查询 报 文 , 当 超过 了 一 定 的 
时 间 限 度 ,就 可 推断 该 区 域 的 决策 代理 已 经 不 存在 。 这 时 该 区 域 的 节点 选举 一 个 节点 驻 留 
决策 代理 ,并 由 该 节点 从 周围 节点 请 求 一 个 决策 代理 。 该 请 求 报 文 达到 周围 区 域 的 某 个 决 
策 代理 时 ,该 决策 代理 复制 一 份 ,复制 后 的 决策 代理 移动 到 请 求 节点 。 可 能 会 有 多 个 决 
策 代理 响应 ,最 先 到 达 的 决策 代理 发 挥 作用 ,随后 到 达 的 抛弃 。 选 举 算法 可 采用 竞争 方 
式 , 谁 先 申请 谁 得 到 ; 也 可 采用 协商 方式 ,哪个 节点 资源 充足 ,哪个 就 作为 决策 代理 的 驻 
留 节点 。 


3.3.4 攻击 代理 构成 
当 免 疫 系 统 发 现 有 外 界 病原 体 进入 体内 时 ,淋巴 B 细胞 会 产生 大 量 抗体 与 抗原 结合 ， 
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清除 抗原 ,将 其 排除 体现 外 。 攻 击 代理 就 担任 淋巴 系统 中 的 抗体 的 角色 ,主要 负责 将 恶意 节 
点 包围 并 孤立 。 

无 线 自 组 织 网 络 中 节点 必须 通过 邻居 节点 的 转发 才能 参与 网 络 , 攻 击 节点 代理 移动 到 
恶意 节点 的 周围 邻居 节点 上 ,将 恶意 节点 包围 起 来 ,不 再 接受 恶意 节点 的 路 由 请 求 和 报 文 发 
送 , 也 不 再 向 其 转发 报 文 。 虽 然 恶意 节点 在 网 络 中 ,但 它 不 能 参与 任何 网 络 功能 ,等 于 将 它 
排除 于 网 络 , 这 样 才能 够 最 大 限度 减少 对 网 络 的 危害 。 攻 击 代 理 有 定位 .移动 .隔离 和 自杀 
四 个 功能 模块 ,其 结构 关系 如 图 3-5 所 示 。 

当 决策 代理 产生 大 量 攻击 代理 时 ,已 经 能 确定 有 入 侵 者 SL 
就 在 附近 ,但 不 一 定 就 处 于 邻居 的 位 置 , 也 许 相 邻 一 个 或 两 个 i 
节点 。 这 些 攻击 代理 需要 定位 入 侵 者 的 位 置 ,并 移动 到 入侵 。 一 上 
者 周围 将 其 包围 隔离 。 定 位 模块 用 于 搜寻 入 侵 者 的 位 置 , 指 LER [ T[ PR 
示 攻 击 代理 移动 的 方向 。 移 动 模块 按照 定位 模块 指出 的 方 | | 
向 ,负责 攻击 代理 移动 到 入 侵 者 的 附近 。 当 攻击 代理 到 达 入 [e 
侵 者 的 邻居 节点 时 ,隔离 模块 将 切断 入 侵 者 与 外 界 的 联系 . 
自杀 模块 负责 结束 攻击 代理 本 身 的 生命, 它 在 两 种 情况 下 自 
杀 模 块 发 生 作用 ,一 是 在 一 定时 间 内 无 法 定位 到 入 侵 者 时 ,二 是 入 侵 者 死亡 不 再 需要 攻击 代 
理 隔离 时 。 自 杀 模块 的 作用 是 防止 攻击 代理 大 量 长 时 间 占 用 节点 资源 ,只 有 当 入 侵 者 存在 
时 , 才 需 要 攻击 代理 隔离 ,入侵 者 死亡 ,攻击 代理 也 应 自行 消失 。 


3.4 实例 分 析 


为 了 进一步 阐述 设计 的 安全 架构 的 功能 和 特点 ,在 本 节 中 举 一 个 例子 来 说 明 整 个 人 侵 
检测 和 响应 的 过 程 。 图 3-6 为 一 个 无 线 自 组 织 网 络 的 拓扑 图 。 


n 7" 图 例 : 


图 3-5 攻击 代理 结构 图 
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3-6 一 个 无 线 自 组 织 网 络 拓扑 图 


图 3-6 中 有 15 个 移动 节点 ,从 节点 A 到 节点 O, 相 邻 节点 通过 双向 链 路 进行 连接 ,其 中 
节点 H 为 人 侵 者 ,每 个 节点 都 驻 留 监视 代理 ,监听 并 收集 其 邻居 节点 的 行为 信息 ,三 个 节点 
CL.O 中 驻 留 了 决策 代理 ,负责 其 区 域内 信息 的 汇总 与 决策 ,如 节点 工 上 的 决策 代理 就 负 
责 汇总 节点 D、E、MLL 节点 上 监视 代理 所 收集 的 信息 。 

图 3-7 显示 入 侵 节点 H 开始 发 动 拒绝 服务 攻击 , 它 向 整个 网 络 泛 洪 发 送 大 量 无 用 数据 
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图 3-7 入 侵 节 点 发 动 攻击 


报 文 或 路 由 查询 报 文 ,数据 报 从 入 侵 者 周围 节点 开始 向 整个 网 络 扩散 ,大 量 占用 和 消耗 网 络 
资源 ,导致 其 他 节点 无 法 正常 传送 报 文 。 

整个 安全 架构 的 响应 可 分 为 人 侵 检 测 和 入 侵 响 应 两 个 过 程 ,首先 是 入 侵 检 测 , 节 点 下 、 
G.I.D Æ H 的 邻居 ,在 节点 下 .G、T.D 上 的 监视 代理 时 刻 监视 节点 H 的 行为 并 将 其 行为 进 
行 编码 , 当 H 节点 连续 发 送 查 询 报 文 时 ,其 行为 的 编码 为 6666666,F 节点 上 的 代理 将 编码 
RIE C 节点 上 的 决策 代理 ,D 节点 上 代理 的 监视 数据 发 向 工 节点 ,GT 节点 上 代理 的 监视 
数据 发 往 O 节点 。 决 策 代理 首 先 在 免疫 记忆 库 中 进行 特征 匹配 ,如 果 以 前 有 过 相同 的 入 侵 
行为 并 将 其 特征 存 人 了 免疫 记忆 库 , 则 可 快速 匹配 和 识别 入 侵 。 如 果 匹 配 不 成 功 , 则 调用 策 
略 库 中 的 路 由 规范 进行 判断 。 判 断 为 入侵 行为 后 ,下 一 步 进 行人 侵 响 应 ,决策 代理 的 响应 模 
块 开始 产生 攻击 代理 。 在 节点 CL、O 上 的 决策 代理 判断 有 入 侵 后 ,分 别 产 生 攻 击 代理 。 节 
点 C 上 决策 代理 产生 的 攻击 代理 沿 CF 链 路 到 达 入 侵 者 的 邻 节 点 下 ,到 达 后 将 节点 下 与 
入 侵 者 互 的 链 路 FH 中 断 ,拒绝 H 节点 的 任何 路 由 报 文 。 同 样 ,节点 志和 O 上 的 决策 代理 
产生 的 攻击 代理 分 别 到 达 入 侵 者 的 另外 三 个 邻居 节点 DT、G, 同 时 将 其 与 节点 H 的 链 路 
DH.IH.GH 断 开 。 这样 人 侵 者 H 虽然 在 网 络 中 ,但 已 完全 被 其 周围 节点 隔离 。 如 图 3-8 
所 示 ,攻击 代理 移动 到 入侵 者 周围 四 个 节点 驻 留 ,形成 一 道 移动 防火 墙 , 如 图 中 的 虚线 ,将 人 
侵 者 隔离 。 图 3-8 显示 攻击 代理 的 移动 和 孤立 的 过 程 。 所 谓 移动 防火 墙 ,是 指 由 节点 PG, 
I.D 所 构成 的 阻止 人 侵 者 互 的 防火 墙 是 动态 的 , 它 会 随 着 入 侵 者 H 的 移动 而 移动 。 

E 


图 例 : 
移动 节点 
5 决策 代理 驻 留 的 节点 
4 入 侵 节点 


9@ 攻 击 代理 驻 留 的 节点 
一 一 攻击 代理 移动 路 线 
x 中 断 链 路 连接 


3-8 攻击 代理 包围 并 孤立 人 侵 节点 
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从 上 述 分 析 可 以 看 出 ,遍布 整个 网 络 的 监视 代理 实现 对 每 个 节点 的 监控 ,将 节点 的 行为 
编码 后 发 送 到 决策 代理 ,决策 代理 根据 免疫 记忆 和 安全 规范 进行 判断 。 如 果 发 现 入 侵 者 , 则 
决策 代理 产生 攻击 代理 ,由 攻击 代理 将 入 侵 者 包围 并 隔离 ,最 终 消除 入 侵 的 影响 ,实现 网 络 
的 正常 运转 。 


3.5 安全 架构 的 特点 


可 将 无 线 自 组 织 网 络 比 作 整 个 机 体 ,利用 不 同 的 移动 代理 来 模拟 实现 免疫 系统 中 各 种 
淋巴 细胞 的 功能 和 作用 ,实现 一 个 具有 免疫 特征 的 安全 架构 ,安全 架构 组 件 与 免疫 系统 组 织 
对 应 关系 如 表 3-1 所 示 。 


表 3-1 免疫 系统 与 安全 架构 的 映射 表 


免疫 系统 安全 架构 免疫 系统 安全 架构 

整个 机 体 整个 无 线 自 组 织 网 络 B 细胞 决策 代理 

机 体 组 织 细胞 | 无 线 自 组 织 网 络 中 正常 的 节点 | 抗体 攻击 代理 

抗原 无 线 自 组 织 网 络 中 入 侵 节 点 结合 并 清除 抗原 | 攻击 代理 包围 并 孤立 入 侵 节 点 
淋巴 细胞 移动 代理 免疫 记忆 免疫 记忆 库 

工 细胞 监视 代理 


借鉴 免疫 机 制 设计 的 安全 架构 ,因而 它 也 具有 免疫 系统 的 一 些 重要 特点 。 

(1) 分布 式 和 自治 性 : 免疫 细胞 分 布 于 全 身 各 处 ,它们 每 个 淋巴 细胞 根据 本 地 的 实际 
情况 ,做 出 不 同 的 反应 。 既 没有 也 不 需要 全 局 的 控制 中 心 , 这 就 意味 着 没有 单 点 失败 的 危 
险 。 在 安全 架构 中 ,也 没有 集中 的 控制 ,分 布 于 整个 网 络 的 代理 既 相互 联系 又 各 自 独立 地 运 
行 着 ,决策 代理 根据 本 地 监视 代理 收集 的 信息 ,自主 地 做 出 判断 ,不 需要 外 界 的 任何 干预 。 
这 非常 适合 于 Ad hoc 网 络 自 组 织 无 中 心 的 特点 ,也 是 我 们 安全 架构 区 别 于 其 他 安全 系统 的 
一 个 重要 方面 。 

(2) 学 习 和 自 适应 性 : 当 免疫 系统 第 一 次 遇 到 某 种 抗原 时 ,需要 一 段 时 间 进 行 识 别 , 但 
它 经 过 第 一 次 识别 后 , 它 就 会 记忆 该 种 抗原 的 信息 ,以 后 再 遇 到 同类 抗原 时 ,反应 时 间 就 会 
大 大 缩短 。 在 安全 架构 中 ,同样 具有 学 习 机 制 ,对 初次 认定 入 侵 者 的 行为 能 够 提取 特征 , 存 
入 免疫 记忆 数据 库 , 第 二 次 遇 到 类 似 入 侵 者 时 ,就 能 及 时 识别 并 响应 。 

(3) 以 行为 标识 入 侵 者 : 免疫 系统 以 基因 来 标识 并 识别 抗原 。 在 许多 安全 系统 中 , 节 
点 的 区 分 通过 字母 或 数字 标记 ,如 IP 地 址 等 ,这 容易 导致 入 侵 者 通过 改变 其 标识 而 逃脱 监 
视 。 在 安全 架构 中 ,以 人 侵 者 的 行为 来 标记 并 识别 人 侵 者 ,只 要 入 侵 者 不 改变 其 行为 就 不 能 

(4) 可 扩展 性 : 当 无 线 自 组 织 网 络 节点 数量 增加 网 络 扩大 时 ,只 是 需要 在 每 个 新 增 节 
点 中 驻 留 一 个 监视 代理 ,再 增加 一 些 决 策 代 理 。 因 为 监视 ,判断 和 响应 都 局 限于 本 地 ,所 以 
安全 架构 对 资源 占用 和 计算 量 并 没有 明显 增加 。 
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3.6 


小 结 


本 章 首先 简 述 了 生物 免疫 机 制 的 原理 。 然 后 借鉴 免疫 系统 的 思想 ,采用 多 代理 来 模拟 实 


现 淋巴 细胞 的 免疫 功能 ,设计 了 一 个 适用 于 无 线 自 组 织 网 络 的 安全 架构 ,并 系统 地 论述 了 安全 
架构 的 设计 思想 结构 组件. 工作 流程 。 最 后 ,通过 实例 分 析 阐 明了 安全 架构 的 有 效 性 。 
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第 4 章 无线 自 组 织 网 络 中 DoS 
攻击 模型 


摘要 : 无 线 自 组 织 网 络 由 于 其 动态 拓扑 、 无 线 信 道 以 及 各 种 资源 有 限 的 
特点 ,特别 容易 遭受 拒绝 服务 (DoS) 攻 击 。 本 章 分 析 了 无 线 自 组织 网 络 的 安 
全 弱点 及 其 导致 的 各 种 DoS 攻击 方式 。 然 后 研究 了 按 需 路 由 协议 AODV， 
发 现 其 中 的 一 些 弱点 ,该 弱点 可 能 导致 无 线 自 组 织 网 络 中 一 种 新 的 DoS 攻击 
模型 一 一 Ad hoc Flooding 攻击 。 该 攻击 主要 针对 移动 无 线 自 组 织 网 络 中 的 
按 需 路 由 协议 ,如 AODV 、DSR 等 。Ad hoc Flooding 攻击 是 通过 在 网 络 中 泛 
洪 发 送 超 量 路 由 查询 报 文 , 大 量 地 占用 网 络 通信 及 节点 资源 ,以 至 于 阻塞 节 
点 正常 的 通信 。 分 析 Ad hoc Flooding 攻击 之 后 ,提出 了 邻居 阻止 的 防御 策 
略 , 即 当 入 侵 者 发 送 大量 路 由 查询 报 文 时 ,邻居 节点 降低 对 其 报 文 的 处 理 优 
先 级 ,直至 不 再 接收 其 报 文 。 模 拟 实 验证 实 , 通 过 这 种 方法 能 够 有 效 地 阻止 
网 络 中 的 Ad hoc Flooding 攻击 行为 。 

关键 字 : 无 线 自 组 织 网 络 . 路 由 协议 网络 安全 ,拒绝 服务 .Ad hoc 
Flooding 攻击 。 


DoS(Denial of Service) 拒 绝 服务 攻击 是 批 攻击 者 非法 占用 或 消耗 大 量 
共享 资源 ,使 得 系统 没有 剩余 的 资源 提供 给 其 他 合法 用 户 使 用 ,从 而 导致 系 
统 无 法 继续 提供 正常 服务 的 一 种 攻击 方式 。 随 着 Internet 的 发 展 ,攻击 者 
已 从 攻击 主机 系统 为 主 转变 到 以 攻击 网 络 为 主 。DoS 攻击 使 网 络 信息 系统 
的 可 用 性 受到 严重 的 威胁 。 这 类 攻击 的 目标 是 使 被 攻击 的 主机 系统 瘫痪 , 提 
供 的 服务 失效 ,使 受 攻击 的 主机 用 户 无 法 使 用 网 络 连接 和 网 络 服务 。 发 起 
DoS 攻击 的 攻击 者 往往 利用 信息 系统 或 通信 协议 本 身 的 安全 缺陷 ,运行 编制 
的 特定 程序 ,恶意 地 消耗 有 限 的 系统 资源 ,如 CPU 资源 .内 存 资 源 、 磁 盘 空 间 
和 网 络 带宽 等 ,使 目标 系统 无 法 提供 正常 服务 ,甚至 导致 系统 服务 崩溃 。 

对 于 有 线 网 络 中 的 DoS 攻击 ,国际 上 专家 学 者 进行 了 深入 研究 ,提出 许 
多 解决 方案 中 。 但 对 于 无 线 自 组 织 网 络 中 的 DoS 攻击 的 研究 才刚 刚 开 
始 S'9。 无 线 自 组 织 网 络 由 于 其 节点 移动 动态 拓扑 有 限 的 通信 带宽 和 能 
源 、 合 作 的 路 由 等 特点 ,使 得 DoS 攻击 比较 容易 实施 并 且 可 能 导致 更 加 严重 
的 后 果 。 
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本 章 首先 介绍 了 固定 网 络 中 的 DoS 攻击 防护 方法 的 研究 进展 ,分 析 了 无 线 自 组 织 网 络 
的 弱点 及 其 导致 的 各 种 DoS 攻击 方式 。 然 后 ,提出 一 种 新 的 拒绝 服务 攻击 模型 一 一 Ad hoc 
Flooding 攻击 。 该 攻击 可 以 针对 所 有 按 需 路 由 协议 ,导致 路 由 协议 不 能 正常 运行 。 当 发 动 
Ad hoc Flooding 攻击 时 ,入 侵 者 在 短 时 间 内 向 网 络 发 送 过 量 路 由 查询 报 文 , 占 用 和 消耗 节 
点 和 网 络 通信 资源 ,导致 网 络 性 能 急剧 下 降 , 正 常 的 通信 无 法 进行 。 针 对 上 述 Ad hoc 
Flooding 攻击 ,我 们 提出 了 防御 方法 ,邻居 节点 监视 入 侵 者 的 行为 , 当 其 行为 异常 ,发 送 过 
量 的 报 文 时 就 降低 对 其 报 文 的 处 理 优先 级 ,如 果 继 续 攻 击 ,就 会 停止 接收 其 报 文 ,从 而 孤立 
攻击 者 。 本 文 的 主要 创新 在 于 提出 了 Ad hoc Flooding 攻击 模型 及 防御 方法 。 


4.2 背景 知识 


4.2.1 无 线 自 组 织 网 络 的 安全 弱点 


传统 网 络 中 ,主机 之 间 的 连接 是 固定 的 ,网 络 采用 层次 化 的 体系 结构 ,并 具有 稳定 的 拓 
扑 。 传 统 网 络 提 供 了 多 种 服务 以 充分 利用 网 络 的 现 有 资源 ,包括 路 由 器 服务 、 命 名 服务 、 目 
录 服 务 等 ,并 且 在 此 基础 上 实现 了 相关 的 安全 策略 ,如 加 密 、 认 证 ,访问 控制 和 权限 管理 、 防 
火 墙 等 。 而 在 无 线 自 组 织 网 络 中 没有 基站 或 中 心 节点 ,所 有 节点 都 是 移动 的 ,网 络 的 拓扑 结 
构 动态 变化 四。 并 且 节 点 间 通 过 无 线 信道 相连 ,没有 专门 的 路 由 器 ,节点 自身 同时 需要 充当 
路 由 器 ,也 没有 命名 服务 .目录 服务 等 网 络 功能 。 两 者 的 区 别 导致 了 在 传统 网 络 中 能 够 较 好 
工作 的 安全 机 制 不 再 适用 于 无 线 自 组 织 网 络 ,主要 表现 在 以 下 几 个 方面 吕 。 

1. 传输 信道 方面 

无 线 自 组 织 网 络 采用 无 线 信号 作为 传输 媒介 ,其 信息 在 空中 传输 ,无 需 像 有 线 网 络 一 
样 ,要 切割 通信 电缆 并 搭 接 才 能 偷 听 , 任 何人 都 可 接收 ,所 以 容易 被 敌 方 窃听 。 无 线 信道 又 
容易 遭受 敌 方 的 干扰 与 注入 假 报 文 。 

2. 移动 节点 方面 

因为 节点 是 自主 移动 的 ,不 像 固定 网 络 节点 可 以 放 在 安全 的 房间 内 ,特别 是 当 无 线 自 组 
织 网 络 布置 于 战场 时 ,其 节点 本 身 的 安全 性 是 十 分 脆弱 的 。 节 点 移动 时 可 能 落 入 敌手 而 投 
降 , 节 点 内 的 密 钥 、 报 文 等 信息 都 会 被 破获 ,投降 后 的 节点 又 可 能 以 正常 的 面目 重新 加 入 网 
络 , 用 来 获取 秘密 和 破坏 网 络 的 正常 功能 。 因 此 ,无 线 自 组 织 网 络 不 仅 要 防范 外 部 的 入 侵 ， 
而 且 要 对 付 内 部 投降 节点 的 攻击 。 

3. 动态 的 拓扑 

无 线 自 组 织 网 络 中 节点 的 位 置 是 不 固定 的 ,可 随时 移动 .造成 网 络 的 拓扑 不 断 变化 。 一 
条 正确 的 路 由 可 能 由 于 目的 节点 移动 到 通信 范围 之 外 而 不 可 达 , 也 可 能 由 于 路 由 途径 的 中 
间 节 点 移 走 而 中 断 。 因 此 ,难于 区 别 一 条 错误 的 路 由 是 因为 节点 是 移动 造成 的 还 是 虚假 路 
由 信息 形成 的 。 由 于 节点 的 移动 性 ,在 某 处 被 识别 的 恶意 节点 移动 到 新 的 地 点 ,改变 标识 
后 , 它 可 重新 加 入 网 络 。 另 外 由 于 动态 的 拓扑 ,网 络 没有 边界 ,防火 墙 也 无 法 应 用 。 

4. 安全 机 制 方面 

在 传统 的 公 钥 密码 体制 中 ,用 户 采用 加 密 、 数 字 签 名 、 报 文 鉴别 码 等 技术 来 实现 信息 的 
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机 密 性 ,完整 性 ,不 可 抵赖 性 等 安全 服务 。 然 而 它 需 要 一 个 信任 的 认证 中 心 来 提供 密 钥 管 理 
服务 。 但 在 无 线 自 组 织 网 络 中 不 允许 存在 单一 的 认证 中 心 , 否 则 不 仅 单个 认证 中 心 的 崩溃 
将 造成 整个 网 络 无 法 获得 认证 ,而 且 更 为 严重 的 是 ,被 攻破 认证 中 心 的 私 钥 可 能 会 泄露 给 攻 
击 者 ,攻击 者 可 以 使 用 其 私 钥 来 签发 错误 的 证 书 ,假冒 网 络 中 任意 一 个 移动 节点 ,或 废除 所 
有 合法 的 证 书 ,致使 网 络 完全 失去 了 安全 性 。 若 通过 备份 认证 中 心 的 方法 虽然 提高 了 抗 毁 
性 ,但 也 增加 了 被 攻击 的 目标 ,任意 一 个 认证 中 心 被 攻破 , 则 整个 网 络 就 失去 了 安全 性 中 。 

5. 路 由 协议 方面 

路 由 协议 的 实现 也 是 一 个 安全 的 弱点 ,路 由 算法 都 假定 网 络 中 所 有 节点 是 相互 合作 的 ， 
共同 去 完成 网 络 信息 的 传递 四。 如 果 某 些 节点 为 节省 本 身 的 资源 而 停止 转发 数据 ,这 就 会 
影响 整个 网 络 性 能 。 更 可 怕 的 是 投降 节点 和 参与 到 网 络 中 的 恶意 节点 专门 广播 假 的 路 由 信 
息 , 或 故意 散布 大 量 的 无 用 数据 包 , 从 而 导致 整个 网 络 的 崩溃 。 


4.2.2 无线 自 组 织 网 络 中 的 DoS 攻击 方式 


DoS 攻击 是 使 系统 降低 或 失去 其 提供 正常 服务 的 能 力 。 在 无 线 自 组 织 网 络 中 ,DoS 攻 
击 的 主要 目的 是 使 网 络 运行 混乱 ,无 法 进行 提出 报 文 传输 。 由 于 无 线 自 组 织 网 络 的 特点 ,可 
以 有 许多 发 起 DoS 攻击 的 方式 ,从 物理 层 到 应 用 层 都 可 以 产生 DoS 攻击 ,但 大 部 分 的 攻击 
还 是 位 于 网 络 层 。 下 面 介绍 一 些 主要 的 DoS 攻击 方式 。 

1. 干扰 

干扰 是 一 种 简单 而 有 效 的 物理 层 DoS 攻击 方式 。 攻 击 者 不 需要 加 入 网 络 , 只 要 捕捉 互 
网 络 节点 所 使 用 的 发 送 和 接收 信息 的 频率 ,连续 发 送 干扰 信号 ,就 能 够 有 效 地 阻塞 节点 之 间 
正常 通信 。 对 付 这 种 攻击 的 方法 一 般 采 用 扩 频 和 跳 频 通信 。 

2. RH 

路 由 协议 假定 网 络 中 节点 都 是 相互 合作 的 ,转发 报 文 的 节点 不 会 修改 与 其 无 关 的 路 由 
信息 ,所 以 不 检查 路 由 信息 的 完整 性 。 这 使 攻击 者 能 够 十 分 容易 更 改 路 由 信息 中 任何 字段 。 
例如 ,AODYV 路 由 中 的 序号 和 跳 数 ,DSR 路 由 包 中 的 路 由 节点 序列 等 ,从 而 产生 错误 的 路 
由 ,如 重 定向 ,回路 等 ,导致 整个 网 络 性 能 下 降 。 攻 击 者 能 够 算 改 路 由 报 文 的 根本 原因 在 于 
节点 无 法 对 路 由 报 文 进行 完整 性 检测 中 。 对 付 算 改 攻击 的 方法 是 对 整个 路 由 报 文 或 其 中 的 
关键 信息 加 入 报 文 鉴别 码 ,节点 收 到 路 由 报 文 之 后 ,先进 行 完整 性 检测 ,通过 后 才能 进行 处 
理 , 以 防止 非法 算 改 。 

3. 冒充 

因为 路 由 协议 并 不 认证 报 文 的 地 址 ,所 以 攻击 者 可 以 声称 为 某 个 节点 加 入 网 络 ,甚至 能 
够 屏蔽 某 个 合法 节点 , 替 他 接收 报 文 。 其 根本 原因 在 于 节点 不 能 鉴别 报 文 的 来 源 。 对 付 冒 
充 攻击 的 方法 是 网 络 各 节点 之 间 实 现 认 证 机 制 ,对 于 节点 的 行为 首先 要 进行 认证 ,是 合法 节 
点 才能 接收 和 发 送 报 文 。 

4. 伪造 

攻击 者 可 以 伪造 并 广播 假 的 路 由 信息 。 例 如 : 广播 某 条 存在 的 路 由 已 中 断 ,或 编造 一 
条 并 不 存在 路 由 。 它 可 造成 回路 、 分 割 网 络 、 孤 立 节点 等 。 其 原因 在 于 无 法 验证 报 文 的 内 
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容 。 对 付 伪造 攻击 方式 比较 困难 ,因为 要 随时 掌握 整个 网 络 的 连通 情况 ,才能 辨别 某 个 节点 
所 发 出 的 信息 的 真 假 。 

5. 资源 消耗 攻击 

攻击 者 发 送 大 量 无 用 报 文 ,如 路 由 查询 报 文 或 数据 报 文 ,消耗 网 络 和 节点 资源 ,如 带宽 、 
PY FE CPU .电池 等 。 针 对 无 线 自 组 织 网 络 还 有 一 种 的 攻击 叫 剥 夺 睡 眠 攻击 m1, 攻击 者 不 停 
发 送 报 文 , 使 移动 节点 的 电源 很 快 耗 尽 , 从 而 达到 拒绝 服务 的 目的 。 

6. Wormhole 攻击 

攻击 者 在 网 络 中 收 到 报 文 , 通 过 专用 通路 传送 到 另 一 个 攻击 者 ,然后 重新 发 送出 去 ,在 
两 个 攻击 者 之 间 的 通路 就 叫 Wormhole[5] 。 如 果 只 是 通过 Wormhole 来 转发 报 文 ,也 不 会 


对 网 络 运行 产生 什么 影响 。 但 如 果 两 个 串通 的 攻击 ENSE 

者 ,通过 Wormhole, 越 过 正常 的 拓扑 结构 ,直接 转发 路 Be 

由 查询 报 文 ,造成 错误 的 路 由 拓扑 信息 。 图 4-1 为 yr M: 
Wormhole 攻击 示意 图 ,从 S 节点 到 节点 的 正常 路 打 m x 
由 应 该 为 S 一 A 一 B 一 C 一 D, 但 攻击 者 M, 和 M, 通过 包 包 入 P 
ABC 建立 虚拟 专用 通道 用 来 转发 路 由 查询 报 文 , 这 样 A BC 


形成 了 S 一 M M: 一 D 的 路 由 。 因 为 后 者 路 由 跳 数 少 ， 
源 节点 选择 了 SM M. —D 作为 发 送 路 由 。 

文献 [12] 专 门 提 出 一 种 方法 Packet leashes 抵抗 Wormhole 攻击 , 它 基 于 精确 的 时 间或 
位 置信 息 来 发 现 并 阻止 它 的 攻击 。 

7. 黑洞 攻击 

在 路 由 查询 或 路 由 更 新 中 ,攻击 者 虚假 广播 更 好 的 路 由 ,例如 更 短 或 更 稳定 的 路 由 ,其 
目标 是 阻止 建立 到 目的 节点 的 正确 路 由 。 或 者 在 没有 至 目标 节点 的 路 由 情况 下 ,抢先 宣布 
有 到 目标 节点 的 路 由 ,使 源 节点 建立 通过 该 节点 的 路 径 ,在 随后 的 报 文 发 送 中 ,抛弃 通过 该 
节点 的 报 文 ,形成 抛弃 报 文 的 黑洞 3 。 解 决 黑洞 攻击 的 一 种 方法 是 禁止 路 由 中 间 节 点 回答 
路 由 查询 报 文 ,只 能 由 目标 节点 回答 路 由 查询 。 这 样 虽 然 在 一 定 程度 中 阻止 了 黑洞 攻击 ,但 
也 降低 了 路 由 查询 的 效率 。 

8. Rushing 攻击 

在 按 需 路 由 协议 中 ,节点 路 由 查询 时 常 采 用 泛 洪 查询 ,可 能 会 导致 一 个 节点 收 到 多 个 相 
同 的 路 由 查询 报 文 , 这 时 节点 只 会 处 理 第 一 个 到 达 的 路 由 查询 报 文 ,而 将 其 他 相同 的 路 由 查 
询 报 文 抛弃 。Rushing 攻击 5 就 利用 这 个 弱点 ,攻击 者 比 其 他 节点 更 快 地 转发 路 由 查询 报 
文 , 使 得 其 他 节点 首先 收 到 它 转 发 的 报 文 。 它 导致 两 个 问题 : 其 一 ,攻击 者 短 时 间 内 发 送 大 
量 路 由 查询 遍布 整个 网 络 ,使 得 其 他 节点 正常 的 路 由 查询 无 法 提交 处 理 而 被 抛弃 ; 其 二 ,所 
有 建立 的 路 由 都 通过 攻击 者 。 


4.3 相关 工作 


在 固定 网 络 中 存在 着 多 种 DoS 攻击 方式 ,如 Smurf, RST flooding, SYN Flooding, 
ICMP flooding, DNS replay flooding 攻击 05 。 其 中 .SYN Flooding 为 主要 的 攻击 方式 , 它 


图 4-1 Wormhole 攻击 示意 图 
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在 所 有 网 络 DoS 攻击 中 占 到 90% ~94%, EF TCP/ IP 协议 的 网 络 系统 中 ,为 确保 通 
信 的 另 一 方 能 正确 无 误 地 接收 到 信息 ,建立 TCP 连接 时 采用 了 3 次 握手 协议 。 该 协议 的 过 
程 是 ,首先 用 户 发 起 建立 连接 请 求 ,服务 器 端 在 收 到 用 户 连接 请 求 后 ,并 不 是 立即 建立 连接 ， 
而 是 向 用 户 回答 该 请 求 并 将 该 请 求 缓存 ,等 待 用 户 第 三 次 响应 到 达 才 建立 连接 。 如 果 在 连 
接 建 立 的 过 程 中 出 现 了 意外 情况 ,导致 第 三 个 握手 包 (TCP ACK) 无 法 到 达 , 缓 冲 在 服务 器 
端的 连接 请 求 信息 直到 超时 才 会 被 清除 ,并 释放 所 占用 的 资源 。 

图 4-2 显示 一 次 TCP 连接 建立 的 过 程 。SYN Flooding 正 是 利用 这 一 特性 对 网 络 服务 
器 实施 攻击 。 如 果 大 量 连接 请 求 数据 包 发 到 服务 器 端 后 都 没有 应 答 ,会 使 服务 器 端的 TCP 
资源 迅速 枯竭 ,正常 的 连接 不 能 进入 ,甚至 可 能 导致 服务 器 系统 崩溃 。 当 攻击 者 以 一 个 很 高 
的 速率 给 目标 发 送 SYN 请 求 , 填 装 某 个 甚至 多 个 TCP 连接 请 求 缓存 队列 。 遭 到 攻击 的 服 
务 器 根据 SYN 请 求 将 SYN/ ACK 发 往 各 处 ,并 等 待 回应 的 TCP ACK 包 。 由 于 攻击 者 的 
假 SYN 连接 请 求 发 送 速率 足够 快 ,上 且 不 发 回 第 三 个 回复 啊 应 ,导致 服务 器 的 缓存 队列 迅速 
被 填 满 。 服 务 器 在 这 种 情况 下 再 接收 到 SYN 请 求 连接 包 时 将 拒绝 该 请 求 , 使 得 真正 合法 
的 用 户 无 法 连接 到 该 服务 器 。 图 4-3 显示 SYN Flooding 攻击 过 程 。 

用 户 服务 器 


用 户 发 送 SYN 请 求 


服务 器 收 到 请 求 
收 到 来 自 服务 器 的 BIESYNACK 
回复 ， 发 送 确认 人 
息 ， 正 确 建立 连接 


图 4-2 一 个 TCP 连接 正常 建立 过 程 


攻击 者 服务 器 


攻击 者 发 送 大 量 Ecce 


SYN 请 求 


服务 器 收 到 请 求 回 
复 SYN ACK 


不 发 送 确认 信息 


收 到 来 自 服务 器 一 
mese xag 一 


图 4-3 SYN Flooding 攻击 过 程 
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由 于 目前 使 用 的 网 络 协议 无 法 判断 正常 的 TCP 连接 请 求 和 黑客 发 出 的 假 连接 请 求 。 
因此 有 效 防范 措施 应 当 在 系统 遭受 攻击 时 仍 能 够 允许 正常 的 TCP 连接。 常见 的 对 SYN 
Flooding 的 防范 措施 有 基于 主机 和 基于 防火 墙 两 类 -2 ,其 主要 的 措施 有 增 大 系统 连接 等 
待 队列 的 大 小 、 缩 短 TCP 连接 超时 时 间 、SYN cookies, SYN cache 等 。 增 加 系统 连接 缓冲 
队列 的 大 小 是 一 种 最 为 简单 的 防御 方法 。 在 受到 SYN Flooding 攻击 时 ,可 以 起 到 防御 作 
用 。 但 当 攻 击 者 利用 分 布 在 网 络 不 同位 置 上 的 数 百 台 主机 同时 发 起 攻击 ,连接 队列 还 是 会 
很 快 被 填 满 ,造成 系统 瘫痪 。 而 且 加 大 等 待 队列 长 度 将 消耗 大 量 系统 资源 ,使 系统 性 能 下 
降 。 缩 短 TCP 连接 超时 时 间 是 一 种 防御 SYN Flooding 攻击 的 有 效 办 法 ,但 也 有 不 足 之 
处 ,因为 对 合法 用 户 和 非法 用 户 提出 的 连接 请 求 的 超时 时 间 相 同 。 当 合法 用 户 提出 的 连接 
请 求 在 超时 时 间 内 没 得 到 及 时 服务 时 ,也 得 不 到 响应 。 

基于 防火 墙 和 路 由 器 的 防御 系统 在 网 关 处 截获 TCP 连接 ,使 用 代理 的 方式 与 源 目标 进 
行 连接 ,只 有 成 功 返回 时 才 会 发 向 最 终 目标 。 使 用 基于 防火 墙 的 防御 措施 具有 两 个 优点 : 
服务 端 不 需要 改动 。 保 护 整个 内 部 网 络 的 主机 。 但 当 使 用 分 布 式 手段 对 该 目标 发 起 SYN 
Flooding 攻击 时 ,一旦 防火 墙 承受 不 了 攻击 ,整个 内 部 网 络 都 将 瘫痪 ,而 不 是 一 台 主 机 。 可 
见 , 在 这 种 情况 下 ,使 用 防火 墙 的 防御 系统 更 弄巧成拙 ,说 明基 于 防火 墙 和 路 由 器 的 防御 系 
统 也 不 能 有 效 地 防御 高 强度 的 SYN Flooding 攻击 。 应 用 层 代 理 服务 器 本 身 会 受到 SYN 
Flooding 攻击 ,不 能 起 到 保护 作用 。 网 关 包 过 滤 主 要 是 指 以 屏蔽 路 由 器 对 出 和 人 包 进 行 过 滤 
等 。 在 RFC226709 ,Ferguson 和 Senie 提出 了 通过 网 络 入 口 过 滤 来 防止 攻击 者 伪造 IP 地 
址 发 动 DoS 攻击 。 其 优点 是 过 滤 速 度 快 ,对 网 络 性 能 的 影响 小 ,费用 低 , 但 由 于 网 关 的 包 过 
滤 机 制 目 前 仅 是 一 种 附带 功能 ,过 滤 策 略 显得 简单 ,最 大 的 缺点 还 在 于 网 关上 的 过 滤 策 略 因 
复杂 性 和 安全 性 原因 很 难 被 用 户 动态 改变 。 

另 一 类 解决 方案 则 基于 服务 器 本 身 ,包括 SYN cache" fil SYN cookie?” ER, SYN 
cache"! xf TCP 协议 的 实现 稍 加 修改 ,用 哈 希 表 代 替 线 性 表 来 保存 半 连 接 信息 ,减少 了 
TCP 待 连接 队列 的 存储 空间 开销 。SYN cache 仅仅 是 部 分 改善 了 服务 器 抗 SYN Flooding 
攻击 的 能 力 。SYN cookie?" WARA AR AE P [E (ay ie Bz EL. BER TCP 软件 对 收 到 的 
SYN 包 应 答 特 殊 的 SYN/ACK 包 , 其 应 答 号 由 源 和 目的 地 址 . 源 和 目的 端口 .连接 发 起 序 
列 号 按 加 密 算法 求 出 。 当 客户 方 对 此 SYN/ACK 包 应 答 以 ACK 包 时 ,服务 器 检查 其 应 答 
号 以 判断 是 否 为 对 先前 SYN/ ACK 包 的 确认 ,如 正确 则 直接 进入 连接 建立 状态 ,从 而 跳 过 
半 开 连接 状态 ,避免 SYN Flooding 攻击 。SYN cookie 的 缺点 在 于 TCP 协商 选项 被 全 部 丢 
弃 , 从 而 对 TCP 性 能 有 不 可 忽视 的 影响 。 另 外 ,由 于 SYN cookie 在 连接 建立 起 来 之 前 根本 
不 保存 相关 状态 ,因而 TCP 超时 重 发 /出 错 重 传 的 特点 被 据 弃 ,这 直接 影响 到 TCP 面向 连 
接 的 可 靠 传输 特性 。 

上 述 几 种 解决 方案 ,主要 是 防止 固定 网 络 中 SYN Flooding 攻击 。 由 于 在 无 线 自 组 织 
网 络 中 的 泛 洪 攻击 方法 与 SYN Flooding 攻击 不 相同 ,Ad hoc Flooding 攻击 不 需要 建立 
TCP 连接 ,所 以 上 述 方案 无 法 用 于 阻止 无 线 自 组 织 网 络 中 的 泛 洪 攻击 。 

对 无 线 自 组 织 网 络 中 DoS 攻击 及 其 阻止 方法 的 研究 国际 上 才刚 刚 开 始 ,相关 论文 还 比 
较 少 见 。Vikram Gupta 集中 研究 了 无 线 自 组 织 网 络 MAC Ja E. DoS 攻击 的 方式 中。 攻击 
者 通过 不 公平 的 长 期 占用 MAC 层 信道 ,导致 其 他 节点 无 法 得 到 通信 信道 进行 正常 报 文 交 
换 。 其 主要 原因 是 MAC 层 通 信 协 议 无 法 公平 分 配 信道 。I. Aad 对 两 种 DoS 攻击 模型 进行 
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TAW; 其 一 是 JellyFish 攻击 模型 ,主要 攻击 TCP 协议 ,其 方法 是 打 乱 报 文 传送 顺序 、 同 
期 性 抛弃 报 文 和 延迟 转发 报 文 。 通 过 这 三 种 方法 的 使 用 ,引发 TCP 端 到 端的 拥塞 控制 机 
制 ,从 而 导致 端 到 端的 流量 大 幅度 降低 甚至 为 0; 其 二 是 黑洞 攻击 模型 ,攻击 者 参与 网 络 路 
由 查询 ,建立 通过 攻击 者 的 路 由 ,然后 抛弃 所 有 通过 其 节点 的 数据 报 文 。Yih-Chun Hu 研 
究 了 Rushing 攻击 及 其 防御 方式 59 ,提出 了 通过 随机 转发 的 方法 来 对 付 泛 洪 攻击 。 其 方法 
是 将 节点 只 处 理 第 一 个 收 到 的 路 由 查询 报 文 ,抛弃 随后 到 达 的 相同 路 由 查询 报 文 , 改 为 节点 
收集 一 定数 量 的 相同 路 由 查询 报 文 , 然 后 选择 其 中 任意 一 个 进行 处 理 。 这 样 就 可 以 阻止 泛 
洪 攻 击 。Yih-Chun Hu 在 另 一 篇 论文 5 中 研究 了 Wormhole 攻击 及 其 防御 方式 。 提 出 了 
基于 时 间 约 束 和 基于 空间 约束 的 两 种 防御 方法 。 基 于 时 间 约 东 的 方法 是 给 每 个 发 出 报 文 打 
下 时 间 截 ,接收 时 对 比 一 下 时 间 ,将 报 文 发 送 与 接收 控制 在 一 定时 间 内 。 基 于 空间 约束 的 方 
法 是 利用 GPS 信息 , 报 文 发 送 时 带 上 位 置信 息 ,接收 时 可 查看 其 发 送 距离 ,防止 传送 过 远 ， 
将 报 文 发 送 与 接收 控制 在 一 定 范 围 之 内 。 


4.4 Ad hoc Flooding 攻击 模型 


本 节 提 出 一 种 新 的 攻击 模型 一 一 Ad hoc Flooding 攻击 。 它 能 针对 无 线 自 组 织 网 络 中 
的 所 有 采用 按 需 路 由 协议 发 动 DoS 攻击 ,例如 : DSRS , AODV™) ,LARUS 4$ , BE s fg HE gg 
由 安全 协议 也 不 能 幸免 ,如 : SRP? , Ariadne? ARAN? SAODV5s2 ,因为 它们 只 是 提 
供 节点 相互 认证 ,防止 恶意 节点 修改 路 由 协议 报 文 其 目的 是 防范 外 界 的 攻击 ,而 对 内 部 节点 
发 动 的 DoS 攻击 丝毫 不 能 防止 ,其 安全 认证 的 过 程 需要 大 量 的 计算 ,反而 更 增强 DoS 攻击 
的 效果 。 下 面 基于 AODV 来 描述 Ad hoc Flooding 攻击 方法 ,针对 其 他 路 由 协议 的 攻击 方 
法 类 似 。 下 面 我 们 先 概要 介绍 AODV 路 由 协议 ,然后 分 别 讨论 攻击 方式 。 


4.4.1 AODV 路 由 协议 概述 


在 AODV 路 由 协议 中 ,节点 之 间 的 路 由 建立 是 完全 按 需 进行 的 。 当 源 节 点 需要 发 送 报 
文 至 某 个 节点 ,而 源 节点 中 没有 至 该 节点 的 路 径 时 , 源 节 点 可 广播 路 由 请 求 报 文 (RREQ) 来 
查询 到 目标 节点 的 路 径 。RREQ 报 文 在 整个 网 络 中 泛 洪 发 送 。 节 点 收 到 RREQ 时 ,首先 检 
查 是 否 是 以 前 接收 过 的 RREQ 报 文 ,若是 就 直接 抛弃 不 进行 处 理 , 若 不 是 进行 下 一 步 处 理 。 
收 到 RREQ 报 文 的 节点 ,搜索 本 节点 路 由 表 中 是 否 记 录 有 到 目的 节点 的 路 由 。 若 没有 , 节 
点 暂 存 RREQ 报 文 的 源 节点 地 址 、 目 的 节点 地 址 、 上 游 节点 地 址 和 目的 序列 号 ,建立 反 向 路 
由 后 ,将 RREQ 重新 广播 出 去 。 若 有 到 目标 节点 的 路 由 或 本 机 就 是 目的 节点 ,可 发 送 “路 由 
回答 ”(RREP) 沿 RREQ 来 时 建立 的 反 向 路 由 回 到 源 节点 ,回答 中 包含 更 新 的 目的 序列 号 ， 
沿途 转发 路 由 回答 "的 中 间 节 点 根据 回答 更 新 本 机 路 由 表 , 设 置 路 由 的 下 游 节点 、 目 的 序列 
号 有效 时 间 信息 。 当 RREP 到 达 源 节点 时 ,就 建立 了 一 条 源 节点 到 目标 节点 的 路 由 。 

AODV 通过 周期 性 的 广播 hello 报 文 来 监视 链 路 状态 , 若 节点 在 使 用 某 个 链 路 发 送 报 
文 时 发 现 该 链 路 中 断 ,节点 将 从 路 由 表 中 删除 包含 该 断 开 链 路 的 路 由 ,并 发 送 “ 路 由 出 错 ? 报 
文 (RRER) 至 路 由 起 始 节点 ,通知 那些 因 链 路 断 开 而 不 可 达 的 节点 将 对 应 路 由 从 路 由 表 中 
删除 ,沿途 转发 RRER 的 节点 也 删除 自己 路 由 表 中 的 对 应 路 由 。 当 RRER 到 达 源 节点 时 ， 
源 节 点 也 删除 这 条 路 由 ,如 果 还 需要 发 送 数据 , 源 节点 可 重新 进行 路 由 查询 。 
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4.4.2 Ad hoc Flooding 攻击 方法 


在 AODV 路 由 协议 中 , 泛 洪 查找 路 由 是 非常 消耗 网 络 资源 的 ,为 了 减少 泛 洪 RREQ 报 
文 对 网 络 的 影响 ,AODYV 协议 采取 了 一 些 措施 。 首 先 设置 了 RREQ 每 秒 最 大 发 送 数 ,每 个 
节点 在 一 秒 内 发 送 的 RREQ 报 文 数 不 能 超过 这 个 数值 。 其 次 ,节点 在 发 送 的 RREQ 报 文 
后 ,要 设置 一 个 最 大 查询 往返 时 间 , 等 候 RREP 的 返回 ,如 果 超 过 最 大 查询 往返 时 间 没 有 收 
到 节点 回答 才能 准备 重新 的 发 送 RREQ 报 文 , 但 也 不 能 立即 发 送 , 需 要 等 待 一 段 时 间 , 该 时 
间 长 短 为 RREQ 查询 往返 时 间 的 两 倍 。 再 次 ,RREQ 的 泛 洪 查询 范围 必须 依次 递增 ,通过 
RREQ 报 文中 的 TTLCtime-to-live) 进 行 控制 ,开始 时 设置 范围 小 ,查询 不 到 时 ,再 依次 增 
加 ,直至 收 到 RREP 或 达到 最 大 限制 。AODYV 路 由 协议 通过 上 述 方法 来 控制 泛 洪 RREQ 
查找 的 频率 与 范围 ,减少 对 网 络 资源 的 消耗 。 

但 在 Ad hoc Flooding 攻击 中 ,入 侵 者 不 顾 这 些 规 定 , 尽 力 消耗 网 络 资源 ,攻击 分 为 两 
步 。 第 一 步 ,入侵 者 选择 路 由 查询 的 节点 地 址 。 如 果 它 知道 整个 网 络 的 地 址 范围 , 它 将 选择 
不 在 网 络 内 IP 地 址 作为 路 由 查询 的 节点 地 址 ,因为 没有 节点 能 够 回答 它 的 RREQ 报 文 ,每 
个 节点 就 要 一 直 和 暂 存 的 RREQ 的 信息 和 反 向 路 由 ,直至 超时 才能 删除 这 些 信息 ,能够 尽 可 
能 长 时 间 占 用 资源 。 如 果 入 侵 者 不 知道 整个 网 络 的 地 址 范围 , 它 就 随机 选择 一 些 IP 地 址 进 
行路 由 查询 。 第 二 步 , 入 侵 者 以 选择 好 的 TP 地 址 为 目标 ,大 量 .连续 地 发 送 RREQ 报 文 。 
不 管 AODV 设置 的 RREQ 每 秒 最 大 发 送 数 ,尽力 多 发 送 RREQ, 同 时 直接 将 TTL 设置 为 
最 大 值 , 在 全 网 内 泛 洪 查找 。 如 果 发 送 RREQ 的 地 址 用 完 , 就 开始 新 一 轮 的 发 送 ,不 顾 
RREQ 的 查询 往返 时 间 和 退 避 时 间 。 当 入 侵 者 采用 上 述 方法 发 动 RREQ Flooding 攻击 时 ， 
整个 网 络 就 会 充满 RREQ 报 文 , 导 臻 通信 带宽 和 节点 两 方面 的 资源 枯竭 。 连 续 不 断 的 
RREQ 在 网 络 中 泛 洪 发 送 ,占用 了 大 量 无 线 通信 带宽 ,导致 网 络 拥塞 ,正常 通信 无 法 进行 。 
对 于 节点 来 说 ,每 收 到 一 个 RREQ 报 文 .从 上 节 AODV 协议 概述 可 知 , 它 都 要 缓存 RREQ 
报 文 的 源 节点 地 址 ,目的 节点 地 址 、 上 游 节点 地 址 和 目的 序列 号 并 建立 反 向 路 由 ,该 缓存 要 
等 待 RREP 或 超时 后 才能 释放 。 如 果 没 有 RREP 到 达 , 又 不 断 接收 新 的 RREQ 报 文 ,有 限 
的 缓存 就 会 被 消耗 完毕 。 此 时 ,如 果 其 他 节点 要 建立 路 由 ,再 发 送 RREQ 报 文 ,这 些 节 点 就 
不 能 接收 新 的 RREQ 报 文 ,导致 正常 的 路 由 建立 无 法 进行 。 图 4-4 显示 一 个 RREQ 
flooding 攻击 的 例子 。 攻 击 节点 H 向 周围 节点 泛 洪 发 送 攻击 报 文 , 周 围 节点 收 到 后 继续 泛 


图 例 : 
一 攻击 路 径 
A 攻击 者 


图 4-4 Ad hoc Flooding 攻击 示意 图 
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洪 传播 ,造成 整个 网 络 充满 了 攻击 报 文 , 网 络 性 能 严重 下 降 。 
4.4.3 Ad hoc Flooding 攻击 与 SYN Flooding 攻击 的 异同 


不 同 于 上 述 Ad hoc Flooding 攻击 方法 ,SYN Flooding 攻击 方法 为 : 攻击 者 通过 伪造 
的 IP 地 址 发 送 大 量 的 TCP 连接 请 求 至 某 个 节点 ,每 个 TCP 请 求 都 会 导致 目标 节点 建立 一 
个 连接 缓冲 。 该 连接 缓冲 由 于 连接 无 法 建立 而 不 能 释放 ,一 旦 节点 缓冲 空间 用 尽 , 就 不 能 接 
收 新 的 TCP 连接 请 求 , 从 而 导致 了 拒绝 服务 。SYN Flooding 攻击 是 通过 大 量 发 送 假 的 
TCP 连接 请 求 的 方法 ,造成 某 个 被 攻击 机 器 因 资源 耗 尽 而 瘫痪 。 

K 4-1 从 攻击 方法 .目标 、 结 果 等 方面 对 两 种 不 同 的 攻击 方法 进行 了 对 比 。Ad hoc 
Flooding 攻击 与 SYN Flooding 攻击 的 目的 是 类 似 的 ,都 是 导致 拒绝 服务 。 但 Ad hoc 
Flooding 攻击 通过 泛 洪 发 送 大 量 攻 击 报 文 的 方式 ,导致 整个 网 络 性 能 下 降 ,不 能 正常 通信 。 
SYN Flooding 攻击 通过 发 送 大 量 假 的 TCP 连接 到 某 个 主机 ,导致 单个 主机 不 能 正常 工作 。 
上 述 分 析 表 明 Ad hoc Flooding 攻击 与 SYN Flooding 攻击 是 两 种 不 同 的 DoS 攻击 模型 。 


表 4-1 Ad hoc Flooding 攻击 与 SYN Flooding 攻击 的 对 比 


攻击 名 称 SYN Flooding 攻击 Ad hoc Flooding 攻击 
攻击 方法 大 量 假 的 TCP 连接 泛 洪 发 送 过 量 路 由 请 求 报 文 
攻击 目标 网 络 中 单个 主机 整个 无 线 自 组 织 网 络 
受 攻击 的 协议 TCP 协议 按 需 路 由 协议 
攻击 所 在 的 网 络 协 议 层次 传输 层 网 络 层 
攻击 结果 单个 主机 瘫痪 整个 网 络 性 能 下 降 


4.5 防止 Ad hoc Flooding 攻击 的 方法 


本 节 提 出 通过 邻居 阻止 的 方法 ,来 防止 Ad hoc Flooding 攻击 的 方式 。 在 论述 这 种 方 
法 之 前 ,我 们 设 定 一 些 前 提 条 件 : 链 路 层 通信 是 双向 的 ; 无 线 通信 是 无 方向 性 的 ,任何 一 个 
节点 发 送 报 文 其 周围 节点 均 能 收 到 。 节 点 MAC 地 址 与 IP 地 址 一 一 对 应 , 且 不 可 任意 改变 。 

无 线 自 组 织 网 络 的 其 中 一 个 特点 是 多 跳 的 通信 , 即 节点 之 间 的 通信 必须 通 邻 居 节 点 和 
中 间 节 点 进行 转发 ,如 果 邻 居 节 点 拒绝 转发 某 个 节点 报 文 , 则 该 节点 就 会 被 隔绝 于 网 络 。 
图 4-5 是 一 个 无 线 自 组 织 网 络 的 例子 ,网 络 中 有 15 个 节点 ,其 中 五 是 攻击 者 。 节 点 HS 
其 他 节点 之 间 的 通信 必须 通过 节点 D.F.G、T 进行 中 转 。 如 果 节 点 H 的 周围 邻居 节点 D、 
FGI 都 拒绝 接收 节点 H 的 报 文 , 并 中 断 与 节点 H 的 通信 和 链 路 ,节点 H 就 会 被 隔绝 于 网 
络 , 不 能 再 危害 网 络 。 

根据 上 述 思 想来 设计 防御 方法 。 在 AODV 路 由 协议 中 ,节点 接收 处 理 RREQ 报 文 是 
依据 先 来 先 处 理 的 原则 进行 的 ,如 图 4-5 所 示 , 如 果 节 点 下 先 收 到 攻击 者 H 发 送 的 大 量 
RREQ 报 文 , 此 时 如 果 节 点 A 再 发 送 RREQ 报 文 , 节 点 下 要 先 处 理 完 节点 H 的 报 文 后 才 
能 处 理 节点 A 的 报 文 。 如 果 节 点 H 发 送 大 量 的 RREQ 报 文 导致 节 点 下 路 由 表 缓 存 溢出 ， 
那么 节点 下 就 无 法 接收 节点 A 的 RREQ 报 文 ,这 就 导致 了 节点 下 的 拒绝 服务 。 为 了 阻止 
这 种 攻击 ,将 这 种 先 来 先 处 理 的 原则 改 为 基于 优先 级 的 处 理 原则 ,节点 为 每 个 邻居 节点 设立 
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图 4-5 邻居 节点 隔绝 攻击 者 


一 个 处 理 优先 级 ,其 优先 级 的 大 小 与 该 节点 以 前 的 发 送 频 率 有 关 ,节点 处 理 报 文 时 先 查 优先 
级 ,优先 级 高 的 节点 发 送 的 报 文 首先 处 理 。 例 如 ,初始 值 都 可 设 为 1, 当 节点 互 前 1 秒 发 送 
T 10 4 RREQ 报 文 ,那么 其 周围 邻居 节点 如 下 就 将 节点 瑟 的 优先 级 改 为 1/10。 这 时 如 果 
节点 A 发 送 RREQ 报 文 ,如 果 在 节点 下 中 节点 A 的 优先 级 为 1, 节 点 下 就 先 处 理 节点 A 的 
RREQ 报 文 ,而 将 节点 H 发 送 的 RREQ 报 文 排 在 后 面 处 理 。 为 进一步 防止 过 量 发 送 
RREQ 报 文 , 将 AODV 协议 中 规定 的 节点 每 秒 最 大 发 送 RREQ Ji CC sr OS PU ECL HE 
节点 的 发 送 频率 超过 这 个 值 时 ,就 认定 为 该 节点 为 攻击 者 ,此 后 拒绝 接收 该 节点 的 报 文 。 采 
用 这 种 方法 以 后 ,攻击 者 了 H 如 果 发 送 大 量 的 RREQ 报 文 , 其 周围 节点 就 会 迅速 降低 对 节点 
H 的 处 理 优先 级 ,如 果 发 送 RREQ 频率 超过 阔 值 ,邻居 节点 就 会 拒绝 接收 该 节点 的 报 文 , 从 
而 阻止 了 RREQ Flooding 攻击 行为 。 


4.6 模拟 实验 


4.6.1 实验 设置 


为 了 研究 Ad hoc Flooding 攻击 对 网 络 性 能 产生 的 影响 ,同时 验证 防御 方法 的 实际 作 
用 效果 ,我们 进行 了 一 系列 网 络 模拟 实验 。 实 验 分 为 两 类 ,第 一 类 是 在 网 络 模拟 器 上 
AODV 协议 中 实现 了 Ad hoc Flooding 攻击 ,模拟 在 不 同 泛 洪 攻 击 强度 下 网 络 性 能 的 变化 。 
第 二 类 在 AODV 协议 中 实现 了 邻居 阻止 的 防御 方法 ,进行 了 多 个 场景 的 实验 ,模拟 网 络 在 
增加 了 防御 方法 后 ,网 络 性 能 的 变化 情况 。 

实验 平台 为 Pentium 4, 配 置 为 CPU 主 频 1. GHz. RAM 容量 512MB, 使 用 的 操作 系统 是 
Red Hat Linux 7.2, 网 络 仿真 平台 是 NS-2 2. 26(Network Simulator Version 2. 260U9 。 它 
是 美国 国防 高 级 研究 计划 局 资助 的 VINT(Virtual InterNet Testbed)! m H F R H EHF 
网 络 模拟 实验 的 软件 工具 。NS-2 是 一 个 开放 源码 免费 软件 , 带 有 大 量 协 议 库 的 支持 。 主 要 
在 学 术 界 用 于 对 网 络 协议 的 算法 验证 。 初 始 时 主要 针对 固定 网 络 的 模拟 ,CMU( 卡 内 基 。 
梅 隆 大 学 ) 对 NS-2 进行 了 扩展 ,在 物理 层 \ 链 路 层 、MAC 层 等 方面 增加 了 对 于 无 线 网 络 的 
支持 ,用 这 些 增加 的 部 件 可 以 对 无 线 子 网 、 无 线 局 域 网 .无 线 自 组 织 网 络 、 移 动 IP 等 进行 
仿真 。 
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移动 节点 采用 IEEE 802. 11 DCF 作为 MAC 层 的 协议 ,RTS/CTS 控制 报 文 用 在 向 邻 
居 节 点 发 送 单 播 数据 报 文 过 程 中 ,实施 * 虚 载波 侦 听 ”和 信道 预 留 来 减少 "隐藏 终端 ”的 影响 。 
数据 报 文 发 送 后 有 一 个 ACK 报 文 。RTS 和 广播 报 文 使 用 物理 载波 侦 听 来 发 送 ,采用 
CSMA/CA 来 发 送 这 些 数据 报 。 节 点 电磁 波 的 辐射 范围 为 250m。 节 点 间 通 信 信 道 带宽 为 
2Mb/s. 

本 模拟 实验 节点 运动 范围 为 1000mX 1000m 的 方形 区 域 , 其 中 分 布 50 个 移动 节点 。 节 
点 移动 选用 常用 的 random waypoint 方式 。 在 指定 的 范围 内 ,节点 随机 选择 某 个 目标 后 ,在 
预先 设 点 的 最 大 速率 和 最 小 速率 中 随机 选取 一 个 速率 匀速 前 进 , 当 节 点 到 达 该 目标 时 则 停 
留 预 设 的 时 间 。 利 用 速率 和 停留 时 间 这 两 个 参数 ,可 以 唯一 确定 整个 网 络 的 移动 模型 。 模 
拟 时 间 为 900s。 模 拟 实验 场景 如 图 4-6 所 示 , 其 中 设置 一 个 攻击 者 ,为 30 号 移动 节点 。 


4-6 模拟 实验 场景 


测试 收集 两 种 数据 ,分 组 传递 率 (packet delivery rate): 应 用 层 信 源 发 送 的 分 组 数目 与 
信 宿 接收 分 组 数目 之 比 。 它 描述 的 是 通过 应 用 层 观 察 到 的 报 文 丢 失 率 ,又 反映 了 网 络 所 支 
持 的 最 大 吞吐 量 。 它 是 路 由 协议 完成 性 和 正确 性 的 指标 。 平 均 延迟 (average delay): 它 是 
报 文 从 源 节点 到 目标 节点 的 平均 传输 时 间 , 它 反映 了 网 络 传输 性 能 。 


4.6.2 Ad hoc Flooding 攻击 实验 结果 


为 了 测试 在 不 同 攻击 强度 下 网 络 性 能 所 受 的 影响 ,我 们 进行 了 五 组 实验 。 第 一 组 是 没 
有 Ad hoc Flooding 攻击 的 情况 下 ,网络 的 报 文 传递 率 和 报 文 传送 平均 延迟 。 第 二 组 是 攻 
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击 者 每 秒 发 送 10 个 泛 洪 攻击 报 文 的 情况 下 ,网 络 的 报 文 传递 率 和 报 文 传送 平均 延迟 。 第 三 
组 是 攻击 者 每 秒 发 送 20 个 泛 洪 攻击 报 文 。 第 四 组 攻击 者 每 秒 发 送 30 个 泛 洪 攻击 报 文 。 第 
五 组 攻击 者 每 秒 发 送 40 个 泛 洪 攻 击 报 文 。 模 拟 实验 时 间 900s, 每 100s 统计 一 次 网 络 的 报 
文 传递 率 和 报 文 传送 平均 延迟 。 实 验 运行 到 100s 时 ,统计 O~ 100 秒 之 间 的 网 络 报 文 传递 
率 和 报 文 传送 平均 延迟 。 实 验 运行 到 200s 时 .统计 100 — 200 秒 之 间 的 网 络 报 文 传递 率 和 
报 文 传送 平均 延迟 。 其 余 的 依 此 类 推 ,实验 运行 期 间 共 统 计 9 次 。 程 序 设 定 0 一 300 HS 
间 ,节点 正常 运行 ,300s 以 后 攻击 者 开始 发 动 Ad hoc Flooding 攻击 。 图 4-7 显示 30 号 攻击 
者 从 300s 开始 发 动 第 一 波 泛 洪 攻击 。 


4-7 Ad hoc Flooding 攻击 开始 


图 4-8 显示 当 网 络 中 节点 收 到 第 一 次 泛 洪 攻击 报 文 后 .各 节点 再 进行 转发 。 攻 击 者 连 
续 发 送 攻 击 报 文 ,每 个 节点 收 到 攻击 报 文 后 ,又 要 进行 转发 ,如 此 进行 下 去 .整个 网 络 的 通信 
带宽 将 被 攻击 者 完全 消耗 。 图 4-9 显示 网 络 中 充满 了 攻击 者 发 送 的 攻击 报 文 。 

对 上 述 五 种 情况 下 的 报 文 传递 率 按 每 100s 的 间隔 进行 了 汇总 统计 ,计算 在 每 100s 内 
的 五 个 发 送 源 平均 报 文 传递 率 。 图 4-10 显示 五 个 场景 下 的 模拟 实验 结果 ,每 条 实验 曲线 代 
表 一 种 攻击 强度 下 报 文平 均 传 递 率 ,第 一 条 曲线 在 最 上 面 代 表 没 有 攻击 的 情况 下 ,第 二 条 曲 
线 在 第 一 条 曲线 的 下 面 ,为 10 个 攻击 报 文 的 情况 下 ,以 此 类 推 ,第 五 条 有 曲线 在 最 下 面 ,为 40 
个 攻击 报 文 情况 下 的 报 文平 均 传 递 率 。 从 图 4-10 中 可 以 明显 看 出 , 当 网 络 中 没有 攻击 的 情 
DUF ,第 一 条 曲线 显示 报 文 平均 传递 率 接 近 100% 。 当 网 络 中 出 现 攻击 报 文 时 ,传递 率 开始 
下 降 。 当 攻击 强度 为 每 秒 10 一 20 个 泛 洪 攻击 报 文 时 ,网 络 性 能 下 降 不 明显 ,第 二 、 三 条 曲线 
显示 报 文 平均 传递 率 保持 在 80% 左 右 ,也 就 是 说 大 部 分 发 出 的 报 文 能 够 被 传送 到 目的 节 
点 。 其 主要 原因 是 攻击 报 文 消耗 的 带宽 还 不 太 多 .网 络 还 能 够 保持 正常 运行 ,甚至 还 有 一 定 
程度 的 恢复 。 但 是 当 Ad hoc Flooding 攻击 强度 达到 每 秒 30 个 泛 洪 攻击 报 文 时 ,网 络 已 经 
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图 4-9 网 络 中 充满 了 攻击 报 文 
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图 4-10 在 Ad hoc Flooding 攻击 下 的 报 文 传递 率 


不 能 保持 正常 运行 ,性 能 明显 下 降 , 第 四 条 曲线 显示 , 报 文平 均 传递 率 下 降 到 30% 左 右 , 也 
就 是 有 2/3 的 报 文 由 于 网 络 拥塞 被 抛弃 了 。 当 Ad hoc Flooding 攻击 强度 达到 每 秒 40 个 泛 
洪 攻击 报 文 时 ,如 第 五 条 曲线 显示 ,网 络 性 能 急剧 下 降 , 报 文平 均 传 递 率 几乎 降 到 了 零 ,也 就 
是 说 整个 网 络 除了 泛 洪 攻击 报 文 ,其 他 报 文 都 被 抛弃 了 。 


4.6.3 Ad hoc Flooding 防御 方法 实验 结果 


为 了 验证 所 提出 的 防御 方法 的 有 效 性 ,我们 对 按 需 路 由 协议 AODV 进行 了 更 改 , 将 所 
提出 的 防御 方法 加 入 到 节点 对 路 由 报 文 的 处 理 之 中 。 进 行 了 六 个 场景 下 的 实验 ,第 一 个 场 
景 为 没有 攻击 的 情况 下 ,第 二 个 场景 为 攻击 强度 为 每 秒 10 个 泛 洪 攻击 报 文 的 情况 下 , 依 此 
类 推 ,第 六 个 场景 为 每 秒 50 个 泛 洪 攻击 报 文 的 情况 下 。 其 实验 结果 如 下 。 

没有 攻击 的 情况 下 ,从 图 4-11 可 以 看 出 ,平均 传递 率 达 到 了 97%. Ad hoc Flooding XX 
击 时 ,为 了 对 比 没有 攻击 、 存 在 攻击 、 存 在 防御 三 种 情况 下 的 性 能 ,我 们 专门 设计 了 如 下 场 
St: 前 300s 没有 攻击 ,从 300s 以 后 启动 Ad hoc Flooding 攻击 ,从 600s 开始 防御 方法 开始 
发 挥 作用 ,也 就 是 说 ,300 一 600s 只 存在 攻击 ,600 一 900s 攻击 和 防御 同时 存在 。 与 上 节 同 
样 ,每 100s 计算 一 次 报 文平 均 传递 率 。 图 4-12 显示 在 每 秒 10 个 攻击 包 的 情况 下 的 报 文平 
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图 4-11 没有 攻击 时 的 报 文 传递 率 图 4-12 在 10 个 攻击 包 时 的 报 文 传递 率 
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均 传 递 率 ,可 以 看 出 300s 后 攻击 时 性 能 有 所 下 降 ,增加 防御 后 性 能 有 所 提高 ,图 中 虚线 表示 
启动 防御 后 的 报 文 传递 率 ,但 不 明显 ,因为 攻击 所 造成 的 性 能 下 降 不 明显 。 

从 图 4-13 和 图 4-14 看 出 , 当 攻 击 包 为 每 秒 20 个 时 ,防御 效果 开始 显现 ,仍然 不 够 明显 。 
但 当 攻 击 包 为 30 每 秒 时 ,网 络 性 能 下 降 非 常 明显 ,300s 开始 攻击 时 , 报 文 传递 率 下 降 到 
50% 左 右 , 当 启动 防御 后 的 报 文 传递 率 开始 恢复 ,从 50% 升 到 80%。 启 动 防御 后 , 阻 断 了 攻 
击 包 对 整个 网 络 的 影响 ,但 攻击 者 仍然 会 对 其 周围 节点 产生 影响 ,同时 防御 算法 也 会 产生 一 
些 消耗 ,所 以 不 能 完全 将 网 络 性 能 恢复 到 没有 攻击 的 情况 下 。 
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图 4-13 在 20 个 攻击 包 时 的 报 文 传递 率 图 4-14 在 30 个 攻击 包 时 的 报 文 传递 率 


当 Ad hoc Flooding 攻击 强度 达到 每 秒 40 个 以 上 时 ,网 络 报 文 传递 率 就 会 降 到 20% VA 
下 ,从 图 4-15 和 图 4-16 就 可 以 看 出 。 但 当 600s 以 后 ,启动 防御 后 ,网 络 性 能 明显 提高 , 报 文 
传递 率 上 升 到 80%。 从 上 图 中 还 可 以 发 现 , 无 论 Ad hoc Flooding 强度 增加 多 少 ,防御 都 能 
将 报 文 传递 率 恢复 到 80 26 ,说 明 防 御 方 法 能 够 成 功 地 阻止 攻击 ,没有 漏 掉 一 个 攻击 包 。 
泛 洪 率 : 40 报 文 /s BYR: 50 报 文 
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4-15 在 40 个 攻击 包 时 的 报 文 传递 率 图 4-16 在 50 个 攻击 包 时 的 报 文 传递 率 


图 4-17 显示 的 是 上 述 六 种 场景 下 的 平均 报 文 传输 延迟 ,同样 ,每 100s 统计 一 次 ,可 以 
发 现在 有 攻击 情况 下 , 报 文 传输 延迟 随 攻 击 强度 增加 而 增加 ,启动 防御 后 ,传输 延迟 明显 回 
落 ,几乎 接近 没有 攻击 时 的 情况 。 

从 上 述 实验 结果 可 以 得 出 , 当 AODV 协议 中 增加 了 对 Ad hoc Flooding 攻击 的 防御 方 
法 后 ,明显 提高 网 络 春 叶 量 和 传输 效率 。 
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图 4-17 Ad hoc 泛 洪 攻 击 时 的 平均 报 文 传输 延迟 


4.7 小 结 


本 文 提出 一 种 新 的 DoS 攻击 模型 一 一 Ad hoc Flooding 攻击 ,该 攻击 主要 针对 于 无 线 
自 组 织 网 络 中 按 需 路 由 协议 ,通过 RREQ Flooding fll DATA Flooding 两 种 攻击 方法 , 即 攻 
击 者 通过 向 网 络 泛 洪 发 送 过 量 的 路 由 查询 报 文 同时 向 所 有 节点 发 送 攻 击 数据 报 文 ,消耗 网 
络 带 宽 和 节点 资源 ,导致 网 络 拥塞 和 节点 无 法 正常 通信 ,造成 网 络 性 能 严重 下 降 。 为 了 阻止 
Ad hoc Flooding 攻击 ,提出 了 两 种 防御 策略 : 邻居 阻止 和 路 径 删 除 。 模 拟 实 验证 实 ,通过 
这 两 种 方法 的 结合 ,能够 成 功 地 发 现 并 阻止 Ad hoc Flooding 攻击 ,提高 了 网 络 性 能 。 
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摘要 : 在 无 线 自 组 织 网 络 环境 下 ,因为 移动 节点 可 能 被 攻击 截获 ,从 而 港 
露 合法 密 钥 , 导 致 攻击 从 内 部 产生 ,传统 的 网 络 安全 措施 ,如 防火 墙 \, 加 密 、 认 
证 等 技术 ,在 无 线 自 组 织 网 络 中 难以 应 用 。 因 此 ,只 有 通过 入 侵 检 测 才 能 发 
现 并 清除 入 侵 者 。 本 文 提出 一 种 基于 时 间 自 动机 分 布 式 合作 的 入 侵 检 测算 
法 。 首 先 ,将 整个 网 络 分 为 各 个 监视 区 域 ,每 一 区 域 随机 选 出 徐 头 担任 监视 
节点 ,负责 本 区 域 的 入 侵 检 测 。 其 次 ,按照 DSR 路 由 协议 构筑 节点 正常 行为 
和 入 侵 行为 的 时 间 自 动机 ,监视 节点 收集 其 邻居 节点 的 行为 信息 ,利用 时 间 
自动 机 分 析 节 点 的 行为 ,发 现 入 侵 者 。 本 算法 不 需要 事先 进行 数据 训练 并 能 
够 实时 检测 入 侵 行为 。 最 后 ,通过 模拟 实验 证 实 了 算法 的 有 效 性 。 

关键 字 : 无 线 自 组 织 网 络 、 路 由 协议 、 网 络 安 全 、 入 侵 检 测 、 时 间 自 动机 。 


无 线 信道 动态 拓扑 、 合 作 的 路 由 算法 、 缺 乏 集中 的 监控 等 都 使 得 无 线 自 
组 织 网 络 安全 更 加 脆弱 ,特别 是 移动 节点 缺乏 物理 保护 ,容易 被 偷窃 .捕获 ， 
落 入 政 手 后 重新 加 入 网 络 ,导致 攻击 从 内 部 产生 。 而 采用 密码 学 理论 的 网 络 
安全 方案 无 法 对 抗 此 类 攻击 。 此 外 ,网 络 安全 的 发 展 史 告诉 我 们 没有 10076 
的 安全 方案 ,无 论 多 么 安全 的 方案 都 可 能 存在 这 样 或 那样 的 漏洞 。 因 此 ,入 
侵 检测 就 理应 成 为 安全 方案 之 后 的 第 二 道 防 护 墙 。 

为 了 保障 无 线 自 组 织 网 络 的 安全 ,至 今 已 经 提出 了 许多 安全 解决 方 
案 口 。 但 这 些 安全 方案 主要 集中 于 密 钥 的 分 配 与 认证 中 .路 由 安全 算法 两 个 
方面 9 。 密 钥 的 设置 与 认证 和 路 由 安全 算法 ,这 两 种 可 以 称 为 人 侵 阻止 技 
术 , 所 谓 人 侵 阻 止 就 是 利用 加 密 、 认 证 、 防 火 墙 等 技术 来 防止 系统 遭受 外 界 的 
攻击 。 这 些 措施 用 于 无 线 自 组 织 网 络 之 中 ,能 够 发 挥 一 定 的 安全 防范 作用 。 
但 是 ,由 于 无 线 自 组 织 网 络 中 节点 可 任意 移动 , 当 网 络 处 于 敌对 环境 时 ,节点 
可 能 被 截获 而 泄露 密 钥 , 政 方 节点 可 持 密 钥 冒 充 合法 节点 加 入 网 络 进行 攻 
击 。 此 时 ,因为 攻击 者 拥有 合法 的 密 钥 ,加 密 和 认证 技术 都 已 经 失效 ,只 有 通 
过 入 侵 检测 才能 发 现 并 清除 入 侵 者 。 

对 无 线 自 组 织 网 络 人 侵 检测 方面 的 研究 相对 较 少 ,主要 集中 于 提出 一 些 
入 侵 检测 的 架构 ,因为 无 线 自 组 织 网 络 自 组 织 和 无 中 心 的 特点 ,集中 式 的 入 
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侵 检 测 无 法 应 用 ,设计 了 一 些 分 布 式 合作 的 入 侵 检 测 方案 。 在 入 侵 检测 方法 上 ,主要 采用 异 
常 检测 ,事先 需要 进行 数据 训练 。 本 文 的 创新 点 在 于 ,提出 一 种 基于 时 间 自 动机 的 入 侵 检测 
方案 ,将 分 布 式 合作 的 入 侵 检 测 架 构 与 时 间 自 动机 的 检测 方法 相 结 合 , 形 成 一 个 适合 于 无 线 
自 组 织 网 络 环境 的 ,无 需 进 行 数据 训练 并 能 实时 检测 入 侵 的 整体 系统 。 

本 文 首先 指出 了 无 线 自 组 织 网 络 按 需 路 由 协议 DSR 的 弱点 和 针对 DSR 的 一 些 攻 击 方 
式 , 然 后 提出 基于 时 间 自 动机 分 布 式 合作 的 入 侵 检 测 系统 。 整 个 人 侵 检 测 系统 由 两 部 分 
组 成 : 

CL) 分 布 式 合作 的 入 侵 检 测 架 构 。 无 线 自 组 织 网 络 具 有 自 组 织 无 管理 中 心 的 特点 , 因 
此 必须 采用 分 布 式 入 侵 检测 的 方法 , 即 入 侵 检测 点 分 布 于 整个 网 络 。 但 为 了 节省 网 络 资源 ， 
又 不 能 所 有 节点 都 为 入 侵 检 测 执行 节点 ,所 以 ,我 们 提出 一 种 基于 簇 头 的 分 布 式 合作 的 入 侵 
检测 ,在 每 一 个 区 域内 选 出 一 个 簇 头 节点 作为 人 侵 响应 的 监视 节点 ,负责 整个 区 域 节点 行为 
的 监视 ,同时 各 个 监视 节点 又 相互 合作 检测 整个 网 络 节 点 。 所 有 监视 节点 形成 了 对 整个 网 
络 的 入 侵 检 测 。 

(2) 基于 时 间 自 动机 的 入 侵 检 测算 法 ,我们 将 按 需 路 由 协议 DSR 的 规范 形成 时 间 自 动 
机 ,节点 的 行为 使 用 时 间 自 动机 进行 分 析 , 如 果 不 符合 时 间 自 动机 的 行为 则 认为 是 攻击 行 
为 。 该 检测 算法 不 需要 事先 知道 入 侵 行 为 的 特征 ,也 不 需要 事先 进行 数据 训练 ,就 可 直接 进 
行 检 测 。 

本 文 其 余部 分 如 下 安排 ,5. 2 节 介绍 了 无 线 自 组 织 网 络 人 侵 检 测 方向 的 研究 进展 。5. 3 节 
介绍 一 些 背 景 知 识 , 包 括 DSR 概述 .DSR 的 弱点 及 针对 DSR 的 攻击 等 。5. 4 节 描 述 我 们 
提出 的 人 侵 检 测 系统 。5. 5 节 进 行 了 模拟 实验 ,评估 了 入 侵 检测 系统 的 效率 。5. 6 节 是 
结论 。 


5.2 相关 工作 


Zhang Yongguang 和 Lee Weeke 提出 了 一 个 基于 代理 的 分 布 式 协作 入 侵 检测 方案 中 。 
在 该 方案 中 IDS 代理 运行 于 网 络 中 每 一 个 节点 上 ,拥有 六 大 功能 模块 ,分 为 数据 收集 、 本 地 
检测 ,合作 检测 、 本 地 入 侵 响 应 ,全 局 入 侵 响 应 、 安 全 通信 。 图 5-1 为 IDS 代理 由 六 大 功能 模 
块 组 成 的 示意 图 。 其 过 程 为 首先 执行 本 地 数据 收集 和 检测 。 如 果 本 地 节点 能 够 确定 和 人 侵 已 


IDS 代 理 
本 地 入 侵 响 应 全 局 入 侵 响应 
i 
本 地 监测 m 合作 监测 


f i 


本 地 数据 收集 安全 通信 
Ld i 
本 地 系统 和 通信 信息 EDS 


图 5-1 IDS 代理 组 成 
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发 生 , 则 直接 告警 。 如 果 只 是 怀疑 有 入 侵 行为 ,本 地 节点 能 够 激发 多 节点 的 协作 检测 , 进 一 
步 检测 是 否 发 生 了 入 侵 。 如 果 确 定 有 入 侵 则 激发 全 网 的 人 侵 响应 。 同 时 提出 了 一 个 检测 路 
由 进攻 的 异常 检测 模型 ,通过 提取 正常 网 络 运 行 时 的 数据 ,进行 分 类 训练 ,实现 对 路 由 入 侵 
的 检测 。 为 了 提高 检测 效率 ,入 侵 检 测 并 不 局 限于 网 络 层 ,而 是 多 层 综 合 检测 。Zhang 
Yongguang 在 文献 [6] 中 对 上 述 方案 进行 了 详细 的 论述 ,建立 了 一 个 IDS 模型 并 用 网 络 模 
拟 器 实现 了 模拟 运行 。 

上 述 方案 的 优势 主要 有 两 点 : 其 一 ,提出 了 分 布 式 协作 入 侵 检测 的 架构 ,利用 分 布 在 每 
个 节点 的 IDS 代理 独立 完成 本 地 检测 ,合作 完成 全 局 检测 ,适合 于 无 线 自 组 织 网 络 自 组 织 
的 特点 ; 其 二 ,采用 多 层 综合 人 侵 检测 ,提高 了 检测 效率 。 缺 点 也 主要 有 两 点 : 其 一 ,采用 
异常 检测 模式 ,要 事先 采样 数据 进行 训练 ,不 适合 于 无 线 自 组 织 网 络 多 变 的 应 用 场合 ; 
二 ,每 个 节点 都 运行 有 代理 ,占用 过 多 的 内 存 和 计算 资源 。 

Oleg Kachirski 和 Ratan Guha 提出 了 基于 移动 代理 的 入 侵 检 测 方 案 中 。 他 们 认为 
Zhang Yongguan 的 方案 每 个 节点 都 有 代理 ,过 于 占用 网 络 资源 ,为 了 节省 资源 ,只 是 在 某 
些 节点 上 驻 留 有 监视 网 络 的 代理 ,并 且 代理 的 数量 可 按 要 求 进行 增 减 。 

Tseng Chin-Yang 等 人 提出 了 基于 规范 (specification-based) 入 侵 检测 方案 外 。 该 方案 
利用 分 布 在 网 络 中 的 监测 点 ,合作 监视 在 AODV 路 由 查询 过 程 中 ,被 监视 节点 是 否 按 路 由 
规范 进行 操作 。 如 果 发 现 不 一 致 则 报警 。 检 测 过 程 为 ,监听 节点 对 查询 报 文 的 处 理 过 
程 ,记录 下 来 形成 转发 表 和 操作 树 ,然后 用 规范 形成 的 有 限 状态 机 进行 检查 ,输出 为 正常 
状态 .怀疑 状态 .人 侵 状态 三 种 结果 ,再 分 别 进行 不 同 的 处 理 。 该 方案 优点 在 于 采用 了 基 
于 规范 人 侵 检测 ,因此 可 以 既 不 需要 事先 提取 入 侵 行为 特征 ,也 不 需要 数据 进行 训练 ,有 
较 高 的 检测 率 和 较 低 的 误 报 率 。 主 要 缺点 为 ,占用 节点 较 多 的 计算 资源 ,也 未 用 实验 进 
行 验证 。 

R. S. Puttini 等 人 设计 了 一 种 分 布 式 的 入 侵 检测 架构 外 ,该 架构 使 用 基于 特征 的 入 侵 检 
WHR, Huang Yi-an 和 Lee Wenke 提出 合作 检测 的 系统 9 ,该 系统 通过 一 些 简单 的 规则 
来 识别 人 侵 者 。B. Sun K. Wu 和 U.W. Pooch 设计 一 种 入 侵 检测 代理 中 ,该 代理 利用 马尔 
可 夫 链 来 进行 人 侵 行为 识别 。P. Albers 提出 一 种 利用 简单 网 络 管理 协议 (SNMP) 所 使 用 
的 管理 信息 库 (MIB) 作 为 人 侵 检测 源 数据 的 架构 中。S. Bhargava 和 D. P. Agrawal 提出 一 
种 入 侵 检 测 和 响应 的 模型 3。Weichao Wang 提出 一 种 鉴别 AODV 协议 中 序列 号 伪造 的 
方法 59 。 表 5-1 对 三 种 主要 的 入侵 检测 方案 进行 了 比较 。 

表 5-1 三 种 入 侵 检 测 方案 的 比较 


协议 名 称 gib rena 基于 规范 人 侵 检测 
执行 者 | 驻 留 节点 上 的 代理 各 种 移动 代理 每 个 节点 
检测 模式 | 异常 检测 异 党 检测 基于 规范 的 检测 
检测 方法 | 分 布 式 监测 \ 邻 居 监 视 PEREN JERA | Pe BEA 

可 动态 调整 代理 数量 ,降低 | 不 需要 数据 进行 训练 , 较 高 
[ME E ELT Min poti 
Ux 占用 过 多 资源 协议 比较 复杂 计算 量 大 


72 


无 线 自 组 织 网 络 和 对 等 网 络 原理 与 安全 


通过 上 述 比 较 可 以 看 出 ,上 述 入 侵 检 测 方案 存在 以 下 一 些 特 点 : 

COD. 现行 的 入 侵 检 测 的 架构 为 使 用 代理 作为 人 侵 检 测 的 执行 者 ,代理 驻 留 并 运行 于 网 
络 中 每 一 个 节点 内 ,分 布 式 的 监视 网 络 状 况 , 信 息 共享 ,合作 检测 入 侵 行为 。 这 种 架构 对 于 
入 侵 检 测 来 说 是 较为 有 效 的 ,但 未 充分 考虑 到 网 络 带宽 和 节点 计算 资源 有 限 的 特点 ,节点 本 
身 要 运行 自己 的 应 用 程序 ,又 要 负责 网 络 报 文 转发 ,CPU 和 内 存 资源 已 经 很 紧张 ,还 要 运行 
代理 监视 网 络 和 主机 ,这 也 许 会 导致 节点 性 能 明显 下 降 ,甚至 资源 枯竭 。 网 络 带宽 也 十 分 有 
限 , 代 理 间 信息 交换 也 要 占用 带宽 ,这 也 许 会 影响 网 络 性 能 。 我 们 认为 在 设计 上 应 充分 考虑 
到 网 络 资源 有 限 的 特点 ,降低 其 对 资源 的 要 求 , 不 必 每 一 个 节点 都 运行 代理 ,可 采用 两 种 方 
式 , 一 种 是 分 区 域 ,每 个 区 域 使 用 一 个 代理 负责 监控 。 另 一 种 是 使 用 少量 移动 代理 散布 于 网 
络 各 处 ,如 发 现 异常 ,可 向 异常 处 移动 ,进一步 检测 以 确定 是 网 络 故 障 还 是 入 侵 行 为 。 

(2) 入 侵 检 测 的 模式 通常 为 异常 检测 模式 。 异 常 检测 模式 是 定义 正常 行为 的 范围 , 凡 
是 偏离 了 正常 的 行为 都 为 人 侵 行 为 。 该 检测 模式 因为 其 能 够 检测 出 新 的 入 侵 行 为 而 被 采 
用 。 但 在 无 线 自 组 织 网 络 环境 下 ,因为 动态 的 拓扑 、 无 线 信 道 的 不 稳定 、 应 用 环境 的 多 变 , 使 
得 难以 准确 定义 正常 行为 的 范围 。 如 果 定 义 不 当 ,将 会 导致 不 能 发 现 入侵 行为 或 者 错误 报 
警 率 太 高 。 针 对 此 不 足 , 应 该 采用 基于 规范 的 入 侵 检测 模式 ,事先 按 网 络 协议 的 规范 定义 好 
程序 的 执行 步骤 ,运行 时 监视 程序 是 否 按 规 范 执行 ,偏离 了 正常 行为 即 为 入侵 行为 。 无 线 自 
组 织 网 络 协议 都 有 明确 的 规范 ,使 用 该 技术 既 能 检测 出 未 知 的 入 侵 行为 ,又 有 较 低 的 误 报 
警 率 。 


5.3 背景 知识 


5.3.1 DSR 概述 


DSR(Dynamic Source Routing) 路 由 协议 中 是 较为 经 典 的 无 线 自 组 织 网 络 路 由 协议 ， 
它 是 一 种 按 需 路 由 协议 。 若 源 节点 S 需要 给 目标 节点 D 发 送 数 据 报 文 ,但 它 的 路 由 缓存 中 
并 没有 从 源 S 到 达 目 标 D 的 路 由 ,此 时 节点 S 先 将 数据 存 入 它 的 数据 缓存 区 ,再 以 广播 方 
式 向 周围 节点 发 送 路 由 查询 报 文 (route request) ,每 个 路 由 查询 报 文通 过 序列 号 和 源 节 点 
来 唯一 标识 。 周 围 节 点 收 到 路 由 查询 报 文 后 ,如 果 它 以 前 收 到 并 处 理 过 同样 的 报 文 , 则 直接 
抛弃 不 处 理 。 如 果 没 有 收 到 过 该 报 文 , 节 点 把 自己 的 地 址 添加 到 路 由 发 现 报 文 的 地 址 列表 ， 
并 向 周围 广播 转发 。 当 路 由 查询 报 文 到 达 目 标 节点 或 中 间 节 点 具有 到 目标 节点 的 路 由 ,该 
节点 把 路 由 发 现 记录 的 地 址 信息 再 加 上 自己 的 地 址 信息 结合 生成 路 由 回答 报 文 (route 
reply) , 单 播发 送 回 源 节点 S。 当 源 节点 收 到 路 由 回答 报 文 时 ,存储 该 路 由 信息 ,用 于 数据 报 
文 的 发 送 。 

路 由 维护 负责 监测 网 络 中 正在 使 用 路 由 的 通 断 情况 ,并 随时 通知 源 送 节点 有 关 该 路 由 
出 现 的 错误 情况 。 当 网 络 中 的 某 一 节点 按照 报 文中 的 路 由 信息 进行 报 文 转发 ,出 现 无 法 将 
报 文 继 续 转 发 到 下 一 节点 的 情况 ,并 且 经 过 多 次 重 发 无 效 后 , 它 就 产生 一 个 路 由 出 错 报 文 
(route error) 来 通知 源 节点 目前 使 用 的 路 由 已 经 失效 ,路 由 出 错 报 文 指出 了 出 错 的 链 路 , 即 
产生 路 由 出 错 报 文 的 节点 地 址 和 不 能 到 达 的 下 一 跳 的 节点 地 址 。 源 节点 和 其 他 的 节点 一 旦 
收 到 路 由 出 错 报 文 ,就 会 检查 自己 路 由 缓存 中 的 路 由 并 且 删 除 出 错 的 路 由 ,同时 , 源 节点 会 
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立刻 查询 自己 的 路 由 缓存 以 寻找 一 条 替代 路 由 使 用 , 若 找 不 到 替代 路 由 , 则 重新 激发 路 由 请 
求 报 文 寻找 目的 节点 。 


5.3.2 时 间 自 动机 简介 


在 计算 机 科学 领域 内 ,自动 机 是 分 析 模 拟 许多 现象 的 有 利 工 具 , 特 别 是 在 并 行 有 限 状 态 
系统 中 ,自动 机 理论 有 着 很 重要 的 地 位 。 在 并 行 计算 的 跟踪 模型 计算 中 ,系统 是 由 其 行为 来 
区 别 的 。 设 由 一 系列 状态 或 事件 来 代表 行为 ,系统 的 行为 集合 就 是 形式 语言 。 由 此 ,系统 就 
可 用 产生 该 语言 的 自动 机 来 模拟 。 从 而 复合 或 复杂 系统 就 可 通过 产生 模拟 其 子 系统 的 自动 
机 来 模拟 。 为 捕 提 实时 系统 的 行为 ,计算 模型 需要 用 时 间 概 念 扩展 。 为 此 ,时 间 自 动机 提供 
了 一 套 简 单 有 效 的 方法 。 使 用 有 限 个 变量 来 表示 时 间 , 称 为 时 间 变 量 。 同 时 用 一 个 条 件 来 
注释 状态 转换 图 。 由 于 这 个 与 时 间 有 关 的 条 件 决定 了 状态 的 转换 发 生 的 时 机 ,因此 称 之 为 
时 间 限 制 。 对 于 某 个 字符 串 , 每 个 字符 对 应 一 个 实 型 的 时 间 标 志 称 之 为 时 间 字 。 对 某 次 转 
换 , 时 间 自 动机 可 能 检查 其 时 钟 值 ,并 对 一 些 时 钟 赋 以 新 值 。 那 么 时 间 自 动机 就 可 以 接受 时 
间 字 。 自 动机 理论 可 以 对 实时 系统 用 有 限 控制 解决 一 些 验证 问题 。 本 文 就 采用 时 间 自 动机 
对 节点 的 行为 实时 地 按 路 由 协议 规范 进行 验证 。 


5.3.3 ”DSR 的 弱点 和 攻击 方式 


动态 源 路 由 协议 DSR 中 没有 考虑 任何 安全 的 防护 措施 ,其 假定 参与 路 由 协议 信息 交 
换 的 所 有 节点 均 能 够 诚实 地 转发 和 处 理 路 由 信息 ,这 导致 DSR 容易 遭受 各 种 安全 攻击 。 
在 DSR 路 由 协议 中 ,一些 关键 的 数据 字段 ,如 源 节点 地 址 .目标 地 址 ` 地 址 列表 ,是 非常 重 
要 的 ,对 其 进行 任何 非法 修改 都 将 导致 路 由 的 不 正常 。 一 个 入 侵 者 可 采用 下 列 攻击 
方式 : 

。 入 侵 者 假冒 另外 一 个 节点 的 地 址 发 出 路 由 查询 报 文 。 

。 当 入 侵 者 转发 报 文 时 ,对 报 文中 的 地 址 列表 进行 插入 、 删 除 或 修改 。 

。 和 人 入 侵 者 假冒 目标 节点 编造 路 由 回答 报 文 ,发 回 源 节点 。 

t 全 部 或 部 分 抛弃 路 由 查询 报 文 .路 由 回答 报 文 和 数据 报 文 。 

* 编造 路 由 出 错 报 文 , 谎 称 正 常 的 路 由 已 经 中 断 。 

上 述 攻 击 将 会 导致 下 列 后 果 : 

。 黑洞 : 节点 不 转发 任何 报 文 。 

* 环 路 : 路 由 首尾 相连 形成 一 个 环 路 ,进入 环 路 的 报 文 一 直 在 绕 圈子 ,永远 不 能 达到 

目标 节点 。 

。 网 络 分 割 : 物理 上 相连 的 整个 网 络 ,逻辑 上 被 分 割 为 互相 不 相连 的 几 个 子 网 ,导致 

许多 节点 之 间 不 能 通信 。 

* 拒绝 服务 : 节点 因为 资源 被 大 量 占用 ,不 能 接收 和 转发 报 文 。 

下 面具 体 介 绍 几 种 攻击 形式 。 

1. 修改 攻击 

所 谓 修改 攻击 ,就 是 入 侵 者 恶意 地 修改 .插入 \ 删 除 经 过 其 转发 的 报 文 , 导 致 路 由 异常 。 
因为 源 路 由 协议 DSR 中 节点 对 路 由 报 文中 的 字段 没有 认证 和 鉴别 能 力 , 所 以 对 路 由 报 文中 
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的 修改 其 他 节点 也 无 法 发 现 。 例 如 ,图 5-2 中 有 五 个 节点 A、.B、C、D、E, 节 点 A 是 源 节点 ， 
节点 已 是 目标 节点 ,节点 A 要 建立 一 条 从 A BIE 的 路 由 。 节 点 A 发 出 路 由 查询 报 文 ,经 过 
节点 B.C、D 转发 ,到 达 目 标 节点 上 。 路 由 查找 过 程 中 每 个 中 间 节 点 转发 时 ,都 将 自己 的 节 
点 加 入 地 址 列表 ,如 图 5-2 中 上 一 行 箭 头 所 示 ,箭头 上 字母 表示 地 址 列表 。 节 点 C 收 到 从 节 
AB 发 来 的 路 由 查询 报 文 后 , 它 将 自己 的 节点 地 址 C 加 入 到 地 址 列表 中 ,形成 新 的 地 址 列 
表 ABC, 然 后 转发 ,以 此 类 推 ,到 达 节 点 D 时 ,又 增加 一 个 节点 DD, 形成 地 址 列表 ABCD。 到 
达 目 标 节点 巨 时 ,节点 请 生 成 路 由 回答 报 文 。 路 由 回答 报 文 包含 路 由 查询 时 形成 的 地 址 列 
表 ABCDE, 并 沿 原 路 返回 。 中 间 节 点 收 到 路 由 回答 时 ,不 对 地 址 列表 修改 ,直接 转发 。 
图 5-1 中 ,第 二 行 箭 头 所 示 ,其 箭头 下 的 字母 表示 路 由 回答 中 的 地 址 列表 ,在 转发 过 程 中 不 


A AB ABC ABCD 


ABCDE ABCDE ABCDE ABCDE 
图 5-2 在 路 由 查询 和 路 由 回答 报 文中 地 址 列表 的 变化 


图 5-3 显示 一 个 修改 攻击 例子 ,节点 C 是 攻击 者 , 当 节 点 收 到 路 由 查询 时 , 它 按 正常 协 
议 规范 处 理 , 将 本 节点 地 址 加 入 路 由 查询 报 文中 的 地 址 列表 中 ,并 转发 。 路 由 查询 报 文 到 达 
目标 节点 太后 ,节点 玉生 成 路 由 回答 ,由 来 路 返回 至 源 节点 。 当 路 由 查询 报 文 到 达 节 点 C 
时 ,节点 C 将 报 文中 的 地 址 列表 ABCDE , 删 去 了 一 个 节点 地 址 D, 形 成 ABCE 后 转发 。 节 
点 B 收 到 节点 C 转发 的 路 由 回答 ,再 转发 给 节点 A。 节 点 A 建立 一 条 从 A 到 EE 的 路 由 
ABCE 。 但 现在 此 路 由 已 无 法 正常 通信 。 攻 击 者 C 还 能 够 删除 或 修改 其 他 通过 节点 C 的 报 
文 ,导致 报 文 无 法 正常 送 达 。 

A AB ABC ABCD 


ABCE ABCE ABCDE ABCDE 
图 5-3 在 修改 攻击 时 路 由 回答 报 文中 地 址 列表 的 变化 


2. 抛弃 报 文 

在 无 线 自 组 织 网 络 中 的 攻击 者 能 够 暗中 抛弃 某 些 或 者 全 部 通过 其 转发 的 报 文 。 这 种 攻 
击 方式 容易 实施 , 却 难于 检测 ,特别 是 处 于 动态 的 拓扑 变化 之 中 时 ,难于 区 分 是 节点 移动 导 
致 的 链 路 中 断 、 报 文 丢 失 ,还 是 故意 抛弃 造成 的 报 文 丢失 。 

3. 假冒 攻击 

攻击 者 假冒 其 他 节点 标识 或 地 址 发 送 报 文 , 称 为 假冒 攻击 。 其 方法 是 将 发 送 报 文 的 源 
节点 地 址 填 为 被 假冒 的 地 址 ,而 不 是 攻击 者 的 地 址 。 例 如 ,图 5-2 中 ,节点 C 可 假冒 节点 A 
发 送 大 量 攻击 报 文 到 节点 已 ,节点 下 不 能 判别 报 文 的 真实 来 源 ,认为 是 节点 A 发 送 的 攻击 
dx. BR ,攻击 者 C 既 攻 击 了 节点 巨 , 又 能 够 隐藏 自己 的 身份 、 嫁 祸 于 人 。 

4. 编造 攻击 

攻击 者 在 网 络 中 编造 并 散布 假 的 路 由 信息 , 称 为 编造 攻击 。 在 动态 源 路 由 协议 DSR 
中 , 当 一 条 正在 通信 的 路 由 中 断 时 ,其 中 断 链 路 的 上 游 节点 应 该 产生 一 个 路 由 出 错 报 文 , 返 
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回 到 源 节点 。 这 份 路 由 出 错 报 文 ,通知 沿途 各 节点 和 源 节 点 ,将 这 条 已 经 中 断路 由 从 节点 路 
由 表 中 删除。 攻击 者 可 以 利用 这 种 机 制 发 动 DoS 攻击 。 例 如 ,在 图 5-2 中 ,从 源 节点 A 到 
目标 节点 已 有 条 路 由 ABCDE 是 正常 的 。 此 时 ,攻击 者 C 编造 路 由 出 错 报 文 ,宣称 CD 之 
间 路 由 已 经 中 断 ,并 将 路 由 出 错 报 文 发 给 上 游 节点 B。 节 点 B 收 到 此 报 文 后 ,认为 CD 之 间 
路 由 中 断 ,将 其 路 由 表 中 路 由 ABCDE 删除 ,并 将 路 由 出 错 报 文 继续 转 发 到 节点 A。 节 点 A 
收 到 后 ,也 将 路 由 ABCDE 删除 。 这 条 本 来 正常 存在 的 路 由 就 不 能 通信 了 。 


5.4 入 侵 检 测算 法 


5.4.1 监视 节点 选举 算法 


在 无 线 自 组织 网 络 中 ,节点 的 资源 是 有 限 的 ,如 果 将 每 个 节点 都 作为 入侵 检测 节点 ,是 
非常 耗费 网 络 节点 资源 的 。 为 了 节省 节点 资源 ,我 们 提出 基于 簇 头 的 监视 模式 ,整个 网 络 划 
分 为 一 个 个 区 域 , 每 个 区 域 选 出 一 个 簇 头 作为 监视 节点 负责 整个 区 域 人 侵 检测 。 该 簇 头 收 
集 整 个 区 域内 的 节点 的 行为 信息 ,并 按 路 由 规范 进行 分 析 ,确定 入 侵 行为 。 

选举 算法 由 两 部 分 组 成 ,选举 阶段 和 维持 阶段 。 在 选举 阶段 ,随机 而 竞争 性 地 选 出 监视 
节点 。 起 始 时 ,整个 网 络 没有 一 个 监视 节点 ,在 一 段 时 间 内 如 果 没 有 任何 监视 节点 的 信息 ， 
任意 一 节点 可 以 广播 一 份 告示 报 文宣 称 自己 是 监视 节点 ,任何 收 到 此 告示 报 文 节点 就 成 为 
被 监视 节点 ,不 能 再 发 告示 报 文 。 告 示 报 文 只 能 在 一 跳 范 围 内 传播 ,不 能 被 转发 。 因 为 通信 
是 双向 的 , 某 个 节点 能 收 到 告示 报 文 ,那么 它 所 发 出 的 报 文 也 能 被 监视 节点 收 到 ,所 以 监视 
节点 能 够 监视 告示 报 文 传播 范围 内 的 节点 行为 。 当 区 
域内 选举 出 一 个 监视 节点 后 ,就 进入 了 维持 阶段 ,监视 
节点 周期 性 地 广播 告示 报 文 ,以 维持 其 监视 节点 的 地 
位 。 监 视 节点 服务 时 间 到 了 后 ,就 重新 启动 一 个 新 的 选 
举 过 程 , 为 了 保证 公平 和 随机 性 ,上 一 届 的 监视 节点 将 
不 能 参加 下 一 届 监 视 节点 的 选举 ,除非 整个 区 域 具 有 它 
一 个 节点 存在 。 图 5-4 显示 三 个 监视 节点 及 其 监视 区 图 5-4 监视 节点 及 监视 区 域 
域 分 布 。 

监视 节点 的 选举 是 公平 而 又 随机 的 。 所 谓 公 平 性 , 即 每 个 节点 都 能 够 有 公平 的 机 会 选 
为 监视 节点 ,同时 每 个 节点 有 相同 的 服务 时 间 。 公 平 性 意味 着 选举 的 随机 性 。 每 个 监视 节 
点 相同 的 服务 时 间 要 求 周 期 性 地 重新 选举 新 的 监视 节点 。 随 机 地 选举 和 周期 性 地 更 换 监视 
节点 ,保证 了 检测 的 安全 性 。 如 果 有 某 个 节点 是 入 侵 者 ,又 被 选举 为 监视 节点 ,那么 在 其 作 
为 监视 节点 的 期 间 可 以 攻击 网 络 而 不 被 发 现 ,因为 它 是 这 个 区 域内 的 唯一 入 侵 检 测 点 。 但 
它 的 监视 服务 时 间 结 束 后 ,又 会 选 出 新 的 监视 节点 ,此 时 就 会 发 现 人 侵 者 。 

无 线 自 组 织 网 络 中 节点 可 任意 移动 ,监视 节点 和 被 监视 节点 都 可 能 移动 而 离开 原来 的 
区 域 ,如 果 一 个 节点 在 一 时 间 内 收 不 到 告示 报 文 , 它 就 可 以 启动 一 个 选举 过 程 ,发 出 告示 报 
文 ,宣称 自己 是 监视 节点 。 如 果 两 个 监视 节点 靠近 相互 收 到 了 告示 报 文 ,就 比较 它们 的 ID. 
那个 ID 较 小 的 节点 继续 保持 为 监视 节点 ,另外 一 个 就 转变 为 被 监视 节点 。 


〇 被 监视 节点 
〇 监视 节点 
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5.4.2 基于 时 间 自 动机 的 检测 


每 个 监视 节点 使 用 时 间 自 动机 来 分 析 监 视 区 域内 被 监视 节点 的 行为 是 否 符合 路 由 规范 
并 与 其 他 监视 节点 交换 监视 信息 ,以 保证 节点 移动 过 程 中 监视 的 连续 性 。 在 监视 过 程 中 , 它 
对 所 监视 的 每 个 节点 建立 时 间 自 动机 进行 分 析 。 在 DSR 路 由 协议 中 ,节点 可 能 收 到 并 处 理 
四 种 类 型 的 报 文 : 路 由 查询 报 文 .路 由 回答 报 文 . 路 由 出 错 报 文 和 数据 报 文 。 我 们 首先 对 路 
由 查询 报 文 按 DSR 路 由 规范 形成 时 间 自 动机 如 图 5-5 所 示 。 


是 路 由 查询 报 文 ，t1: =0 


Ift2<T2, 邻居 
节点 回答 相关 信息 


WFR 


If 27 T2, 没有 邻 
居 节 点 回答 


是 路 由 回答 、 路 由 出 错 


和 数据 报 文 ，t1: =0 
和 数据 报 文 ，t 达到 目标 节点 


没有 修改 


Ift1<T1, 转发 报 文 


If tI TI, then 


If t1« T2, 邻居 
询问 邻居 节点 ，t2: =0 a 


节点 回答 相关 信息 


Alarm1 一 篡改 告警 
Alarm2 一 丢 包 告警 


Ir» T2, 没有 邻居 节点 回答 
5-5 节点 收 到 报 文 后 处 理 过 程 的 时 间 自 动机 


起 始 状 态 是 S1, 当 节点 收 到 报 文 后 ,时 间 自 动机 转向 状态 S2。 接 下 来 ,时 间 自 动机 对 接 
收 的 报 文 进行 判断 ,分 为 两 类 进行 处 理 , 一 类 是 路 由 查询 报 文 , 男 一 类 是 路 由 回答 、 路 由 出 错 
和 数据 报 。 如 果 收 到 的 报 文 是 路 由 回答 、 路 由 出 错 和 数据 报 ,进入 状态 S9, 同 时 将 时 钟 t1 
设置 为 0。 如 果 收 到 的 报 文 是 路 由 查询 报 文 ,进入 状态 S3 ,同时 将 时 钟 t 设置 为 0。 这 里 设 
置 一 个 有 限 的 时 间 长 度 T1, 当 节点 在 Tl 时 间 内 不 回答 或 转发 该 报 文 时 ,就 认为 该 节点 抛 
弃 了 报 文 。 如 果 该 节点 在 Tl 时 间 内 产生 了 路 由 回答 报 文 , 则 进入 状态 S4, 接 下 来 对 路 由 回 
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答 报 文 按 DSR 路 由 规范 进行 检查 ,如 果 是 正常 的 , 则 达到 状态 S7, 时 间 自 动机 正常 结 

如 果 报 文 有 些 字段 被 非法 修改 了 , 则 发 出 非法 修改 告警 。 在 状态 S3 时 ,如 果 收 到 的 是 以 前 
收 到 过 的 路 由 查询 报 文 , 则 直接 抛弃 报 文 进入 终止 状态 S7。 如 果 节 点 在 Tl 时 间 内 转发 路 
由 查询 报 文 则 进入 状态 S5 , 接 下 来 对 转发 的 路 由 查询 报 文 按 DSR 路 由 规范 进行 检查 ,如 果 
修改 了 一 些 不 能 变化 的 字段 , 则 发 出 非法 修改 告警 ,否则 进入 终止 状态 S7。 如 果 在 状态 S3 
超过 TI 时 间 没 有 动作 ,这 时 有 可 能 是 节点 移动 离开 了 监视 区 域 ,监视 节点 不 能 收 到 节点 所 转 
发 的 路 由 报 文 ,所 以 向 周围 监视 节点 发 出 询问 ,是 否 收 到 该 节点 的 转发 报 文 ,同时 将 时 间 也 设 
置 为 0。 这 里 设置 另外 一 个 时 间 长 度 T2, 用 于 等 待 邻居 节点 的 回答 。 如 果 邻 居 监 视 节点 收 到 
并 在 T2 时 间 内 将 报 文 信息 发 回 , 则 状态 转向 S8, 是 路 由 查询 报 文 将 报 文 信息 发 到 监视 节点 ， 
转 到 状态 S5 进行 比较 ,是 路 由 回答 报 文 将 报 文 信息 发 到 监视 节点 , 转 到 状态 S4 进行 比较 。 如 
果 在 T2 时 间 内 未 收 到 邻居 节点 报 文 , 说 明 该 节点 不 参与 路 由 转发 , 则 发 出 抛弃 报 文告 警 。 

在 DSR 路 由 协议 中 ,对 于 路 由 回答 报 文 . 路 由 出 错 、 数 据 报 文 三 种 报 文 的 处 理 过 程 是 同 
样 的 ,可 以 采用 相同 的 时 间 自 动机 进行 分 析 处 理 。 如 图 5-5 所 示 ,起 始 状 态 是 S1, 当 节点 收 
到 报 文 转向 状态 S2。 如 果 收 到 的 报 文 是 路 由 回答 、 路 由 出 错 、 数 据 报 文 三 种 报 文 之 一 , 则 进 
和 状态 S9, 同 时 将 时 间 tl 设置 为 0。 以 下 可 别 转 入 三 个 状态 ,如 果 本 节点 已 经 是 报 文 目 标 
节点 , 则 进入 终止 状态 S12。 如 果 在 TI 期 限 内 转发 报 文 , 则 进入 状态 S10, 在 DSR 路 由 协 
议 中 对 这 三 种 报 文 是 只 能 原样 转发 不 能 进行 修改 的 , 接 下 来 只 要 对 照 一 下 转发 前 后 的 报 文 ， 
如 果 有 不 同 则 发 出 非法 修改 告警 ,如 果 相同 则 进入 终止 状态 。 在 状态 SO 时 ,如 果 超 过 T1 
没有 收 到 转发 报 文 , 则 向 邻居 监视 节点 查询 该 报 文 信息 ,同时 将 t2 设 为 0。 进 入 状态 S11， 
如 果 邻 居 监 视 节 点 在 T2 周期 内 收 到 其 发 出 报 文 , 则 将 信息 发 来 ,进入 状态 S10, 如 果 邻 居 没 
有 收 到 则 发 出 抛弃 报 文告 警 。 

图 5-5 是 处 理 当 一 个 节点 接收 报 文 后 的 处 理 流程 。 图 5-6 显示 的 是 当 节 点 发 送 报 文 后 
的 时 间 自动 机 处 理 流程 图 。 当 监视 节点 监视 某 个 节点 A 发 出 的 报 文 时 ,状态 由 Sl 到 S2 ,可 
能 出 现下 列 两 种 情况 之 一 : 


报 文 源 地 址 不 是 发 
出 报 文 的 节点 地 址 
报 文 源 地 址 是 发 出 
源 发 报 文 报 文 的 节点 地 址 


收 到 邻居 节点 查询 把 该 
报 文 信息 交 给 邻居 节点 

如 果 t2<T2， 并 且 
收 到 邻居 回答 


=") 发 出 报 文 
如 果 忆 T3， 询 问 邻 


Alarm3 一 假冒 告警 。 居 节 点 该 报 文 信息 
Alarm4 一 编造 告警 
5-6 ”节点 发 送 报 文 后 处 理 过 程 的 时 间 自 动机 


CD 以 A 节点 为 源 节 点 的 报 文 , 即 A 节点 发 出 了 这 个 报 文 ,状态 是 由 S2 到 S4, 然 后 比 
较 一 下 发 出 报 文 源 地 址 与 节点 的 地 址 ,如 果 相 符 的 话 则 转 入 终止 状态 ,如 果 不 相符 , 则 发 出 
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假冒 报警 。 

(2) A 节点 是 中 间 节 点 , 它 只 是 转发 报 文 ,进入 状态 S3, 同 时 设置 时 间 t3 为 0。 可 能 节 
点 A 接收 报 文 时 ,不 在 监视 节点 的 区 域内 ,转发 时 节点 移动 进入 监视 节点 的 范围 内 ,所 以 只 
看 到 节点 A 发 出 了 报 文 , 此 时 监视 节点 等 待 邻 居 监 视 节点 查询 ,如 果 在 T3 时 间 内 有 邻居 监 
视 节 点 查询 , 则 将 报 文 信息 发 来 邻居 监视 节点 ,时间 自 动机 进入 终止 状态 。 如 果 在 T3 时 间 
内 没有 邻居 监视 节点 查询 ,那么 监视 节点 主动 向 周围 监视 节点 发 出 查询 ,询问 有 节点 收 到 过 
该 报 文 ,同时 将 t2 设 为 0。 如 果 在 T2 时 间 内 没有 回答 ,说 明 没有 节点 发 送 过 此 报 文 ,是 节 
点 A 编造 了 此 报 文 ,时 间 自 动机 发 出 编造 告警 。 


5.5 模拟 实验 


5.5.1 实验 设置 


实验 平台 为 Pentium 4 配置 为 CPU 主 频 1. 8GHz,RAM 容量 512MB, 使 用 的 操作 系统 
是 Red Hat Linux 7. 12 ,仿真 平台 是 ns-2 2. 26(Network Simulator Version 2. 26)°", [Jj 
真 中 ,节点 总 数 设 置 为 50 个 ,节点 运动 范围 1500mX300m, 运 动 速度 0 一 20my/s, 网 络 中 节 
点 的 运动 采用 随机 运动 模型 , 即 每 个 节点 在 该 区 域内 从 一 点 向 另 一 点 运动 ,运动 速度 在 
[0.20m/s ] 内 均匀 分 布 ,到 达 目 标点 后 ,停留 一 段 时 间 ,然后 选择 一 个 新 的 目标 点 ,同时 再 选 
择 一 个 新 的 速度 ,向 新 的 目标 点 运动 ,以 此 类 推 , 直 至 仿真 结束 。MAC 层 使 用 的 802. 11, 4% 
输 半径 为 250m, 链 路 带宽 为 2Mb/s。 模 拟 时 间 为 900s。 


5.5.2 实验 结果 


我 们 将 选举 算法 和 时 间 自 动机 在 NS-2 中 进行 了 编码 实现 。 为 了 检验 人 侵 检 测 效果 ， 
按 前 述 的 分 析 ,我 们 设计 了 四 种 对 DSR 路 由 协议 的 攻击 方式 。 攻 击 方式 1 是 非法 修改 攻 
击 , 即 入 侵 者 转发 报 文 时 ,非法 插入 \ 删 除 和 修改 报 文中 的 信息 。 攻 击 方式 2 是 抛弃 攻击 , 即 
入 侵 者 只 收报 文 ,不 转发 任何 报 文 。 攻 击 方式 3 是 假冒 攻击 , 即 入 侵 者 假冒 其 他 节点 发 送 各 
种 报 文 ,如 路 由 查询 报 文 数据 报 文 等 。 攻 击 方式 4 是 编造 攻击 ,入 侵 者 编造 一 些 由 它 转发 
的 报 文 ,但 实际 上 源 节点 并 未 发 出 此 报 文 。 

K 5-2 显示 时 间 自 动机 对 四 种 攻击 方式 的 入 侵 检测 率 和 误 报 率 。 从 表 5-2 可 以 看 出 ， 
对 假冒 攻击 的 检测 率 最 高 ,主要 原因 是 监视 节点 只 需要 将 发 出 报 文 节点 地 址 与 报 文中 地 址 
列表 对 照 一 下 ,如 果 没 有 就 是 假冒 攻击 ,最 为 简单 。 抛 弃 攻击 检测 率 最 低 ,主要 原因 是 监视 
节点 不 能 直接 做 出 判断 ,要 到 邻居 节点 去 查询 才能 得 出 结果 。 编 造 攻击 也 是 需要 邻居 监视 
节点 查询 才能 判断 ,检测 率 也 较 低 。 但 是 总 的 来 说 ,检测 率 在 80% 以 上 ,说 明 我 们 的 算法 还 
是 十 分 有 效 的 。 


表 5-2 四 种 攻击 方式 的 入 侵 检 测 率 


攻击 方式 检测 率 /% 误 报 率 /% 攻击 方式 检测 率 /% 误 报 率 /% 


修改 攻击 91.3 2.9 假冒 攻击 97.4 1.3 


抛弃 攻击 83.7 5.7 编造 攻击 88.5 UT 
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5.6 小 结 


在 本 章 中 ,我 们 提出 了 基于 簇 头 的 分 布 式 合作 的 入 侵 检 测 架构 ,整个 网 络 分 成 一 个 个 区 


域 ,每 个 区 域内 的 监视 节点 既 负 责 本 地 入 侵 检 测 又 合作 检测 整个 网 络 节点 ,通过 随机 选举 簇 
头 作为 监视 节点 ,并 周期 性 地 重新 选举 艇 头 , 既 节省 网 络 资源 又 保证 了 入 侵 检测 系统 的 安全 


性 。 


在 入 侵 检测 架构 的 基础 上 ,设计 了 基于 时 间 自 动机 的 入 侵 检测 算法 ,通过 DSR 路 由 协 


议 规范 形成 节点 处 理 过 程 的 时 间 自 动机 ,对 节点 的 每 个 报 文 的 处 理 过 程 按 时 间 自 动机 进行 
分 析 , 实 时 地 发 现 人 侵 行为 。 最 后 通过 模拟 实验 检测 了 我 们 算法 的 有 效 性 。 
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第 6 章 无 线 自 组 织 网 络 的 
主动 防护 机 制 


摘要 : 无 线 自 组 织 网 络 是 由 移动 节点 自 组 织 形成 的 网 络 , 由 于 其 动态 拓 
扑 、 无 线 信道 的 特点 ,安全 容易 遭受 各 种 威胁 。 至 今 提出 的 许多 安全 方案 主 
要 集中 于 入 侵 阻 止 和 入 侵 检测 两 个 领域 内 。 尽 管 这 些 安全 方案 能 够 取得 一 
定 的 安全 保障 效果 ,但 是 它们 都 只 是 被 动 地 去 发 现 和 阻止 入 侵 者 ,并 不 能 从 
根本 上 消除 入 侵 行 为 。 为 了 解决 这 个 问题 ,本 文 提出 一 种 自动 入 侵 响 应 模 
型 。 该 模型 通过 多 种 功能 的 代理 (agent) 组 成 一 个 整体 来 实现 主动 入 侵 响 
应 ,首先 在 每 个 节点 布置 监视 代理 ,负责 收集 其 周围 每 个 邻居 节点 的 行为 信 
息 。 然 后 每 个 区 域内 的 决策 代理 汇总 监视 代理 的 信息 并 进行 判断 。 最 后 , 阻 
击 代理 在 入 侵 者 周围 形成 一 道 移 动 防火 墙 , 将 入 侵 者 包围 并 隔离 于 网 络 , 消 
除 入 侵 行为 。 并 且 进 行 了 模拟 实验 ,证 实 了 该 模型 能 够 有 效 地 阻止 入 侵 。 

关键 字 : 无 线 自 组 织 网 络 、 安 全 、 入 侵 检 测 、 入 侵 响 应 、 移 动 代理 。 


随 着 计算 机 网 络 的 不 断 发 展 和 普及 ,安全 问题 日 益 严重 ,已 成 为 当今 研 
究 的 重点 。 现 有 防范 网 络 人 侵 的 方法 可 分 为 四 类 , 即 人 侵 阻 止 ,人 侵 检测 A 
忍 人 侵 和 和 人 侵 响应 。 入 侵 阻 止 系统 利用 认证 、 加 密 和 防火 墙 技术 来 保护 系统 
不 被 人 侵 者 攻击 和 破坏 。 但 是 ,实践 证 明 入 侵 阻 止 系统 并 不 能 防止 所 有 的 人 
侵 。 入 侵 检 测 系统 是 根据 分 析 采 集 的 主机 系统 或 网 络 的 活动 来 检测 入侵 行 
为 ,入 侵 检 测 系统 分 为 基于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检 测 系 
统 。 有 些 人 侵 检测 系统 只 有 有 限 的 响应 功能 , 当 检 测 到 入 侵 行为 时 ,它们 可 
以 采取 报警 .通知 系统 管理 员 或 断 开 本 地 连接 等 多 种 方式 。 然 而 ,这 些 方式 
大 多 是 被 动 的 ,也 很 难 知道 入 侵 者 来 自 何方 。 人 们 已 经 认识 到 没有 任何 的 系 
统 可 以 保证 绝对 不 被 人 侵 , 所 以 为 了 建立 一 个 可 生存 系统 ,人 们 提出 了 容忍 
入 侵 的 方法 。 入 侵 预防 、 入 侵 检 测 和 容忍 入 侵 在 解决 网 络 入 侵 问题 上 都 发 挥 
了 很 大 的 作用 ,但 这 些 方法 都 是 被 动 地 对 待人 侵 问题 ,不 能 够 主动 地 反击 入 
侵 者 ,隔绝 并 阻 断 其 对 整个 网 络 的 入侵 行为 。 而 人 侵 响应 系统 在 人 侵 发 生 后 
能 够 主动 保护 受害 系统 ,阻击 人 侵 者 。 

目前 ,入 侵 响应 可 以 大 致 分 为 三 类 : 报警 响应 ,手工 响应 和 主动 响应 。 其 
中 大 部 分 系统 采用 的 是 报警 响应 ,报警 响应 是 当 检测 到 入 侵 行为 后 ,入 侵 检 
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测 系统 向 网 络 系统 管理 员 或 相关 人 员 发 出 告警 信息 。 手 工 响应 是 系统 提供 有 限 的 预先 编制 
好 的 响应 程序 ,并 能 指导 网 络 管理 员 选 择 合 适 的 程序 进行 响应 。 与 报警 响应 相 比 ,这 类 系统 
优点 明显 ,但 是 仍然 会 给 攻击 者 留 下 较 大 的 入 侵 时 间 窗 口 。 而 主动 人 侵 响应 系统 不 需要 管 
理 员 手工 干预 ,检测 到 入 侵 行 为 后 ,系统 自动 进行 响应 决策 ,自动 执行 啊 应 措施 。 不 论 是 从 
应 对 数量 惊人 的 入 侵 事 件 考虑 ,还 是 从 响应 时 间 考 虑 ,主动 人 侵 响 应 系统 都 是 目前 较为 理想 
的 响应 方法 。 

Cohen 中 进行 一 系列 网 络 攻 击 模 拟 实验 ,结果 表明 : 某 个 精通 网 络 的 攻击 者 试图 入 侵 一 
个 网 络 , 如 果 发 现 攻 击 行为 后 ,10 小 时 以 内 没有 具体 行动 去 阻止 其 入 侵 行为 ,那么 他 有 80% 
的 可 能 入 侵 成 功 。 如 果 响 应 时 间 推 迟到 20 小 时 , 则 入 侵 成 功率 将 达到 95%。 如 果 响 应 时 
间 推 迟到 30 小 时 , 则 入 侵 者 一 定 会 成 功 。 由 此 可 见 , 能 够 及 时 快速 的 实现 响应 也 是 十 分 重 
要 的 ,而 主动 响应 就 是 达到 此 目标 的 重要 措施 。 

主动 人 侵 响 应 系统 从 响应 方式 可 分 为 基于 主机 的 入 侵 响 应 系统 和 基于 网 络 的 入 侵 响 应 
系统 。 基 于 主机 的 入 侵 响 应 系统 主要 针对 主机 系统 的 人 侵 , 其 响应 主要 在 受害 主机 上 进行 ， 
其 响应 方式 有 记录 安全 事件 .限制 用 户 权限 .暂停 用 户 进程 .封锁 用 户 账号 、 建 立 备份 系 统 
等 。 基 于 网 络 的 入侵 响应 系统 针对 网 络 的 入 侵 , 其 响应 主要 在 防火 墙 、 网 络 设备 和 网 管 工 
作 站 上 进行 ,其 响应 方式 主要 有 记录 安全 事件 .隔离 人 侵 者 .追踪 入 侵 ,. 断 开 和 危险 连接 、 反 
击 攻击 者 等 IP。 主 动人 侵 响 应 系统 从 响应 范围 可 分 为 本 地 响应 系统 和 协同 响应 系统 。 
本 地 响应 系统 是 根据 本 地 的 安全 事件 信息 ,在 本 地 主机 或 网 络 设备 上 进行 局 限于 本 地 的 
响应 。 协 同 响应 系统 是 在 大 规模 网 络 中 ,各 响应 系统 之 间 在 整个 网 络 内 的 主机 或 网 络 设 
备 上 共享 安全 事件 信息 ,协同 响应 ,使 响应 系统 做 出 更 合理 的 响应 ,使 系统 总 的 损失 达到 
最 小 。 

与 固定 有 线 网 络 相 比 ,无 线 自 组 织 网 络 面临 更 多 的 安全 威胁 。 为 了 保障 无 线 自 组 织 网 
络 的 安全 ,至 今 已 经 提出 了 许多 安全 解决 方案 中 , 现 阶段 的 研究 主要 分 为 三 个 方面 : 

CD 密 钥 的 设置 与 认证 G-5 。 研 究 在 无 线 自 组 织 网 络 中 无 中 心 自 组 织 的 情况 下 ,如 何 
实现 密 钥 的 分 配 , 如 何 实现 相互 认证 ,主要 采用 两 种 方式 ,基于 门限 密 钥 的 管理 方案 中 和 基 
于 PGP 的 自 组 织 的 认证 方案 中 。 

(2) 路 由 安全 方案 ,研究 如 何 对 路 由 协议 提供 安全 保障 ,通过 对 路 由 协议 中 的 报 文 提供 
完整 性 校 验 、. 身 份 认证 等 安全 措施 ,防止 恶意 算 改 的 发 生 5 5 。 

(3) 入 侵 检测 ,研究 如 何在 网 络 运行 中 及 时 发 现 恶 意 节 点 的 入侵 ,通常 采用 邻居 监视 、 
合作 检测 的 方法 3 。 入 侵 检 测 可 分 为 基于 特征 的 入 侵 检 测 23 和 基于 异常 的 人 侵 检测 29 。 
密 钥 的 设置 与 认证 和 路 由 安全 方案 这 两 种 技术 可 以 称 为 入侵 阻止 技术 ,尽管 入 侵 阻 止 和 入 
侵 检 测 技术 在 防止 人 侵 方面 发 挥 了 巨大 的 作用 ,但 它们 都 是 被 动 的 防御 措施 ,它们 所 能 取得 
的 最 好 效果 就 是 防止 正常 节点 成 为 人 侵 行为 的 牺牲 者 。 它 们 不 能 有 效 地 消除 入 侵 根源 一 一 
入 侵 者 。 这 些 人 侵 者 能 够 继续 存在 并 危害 网 络 系统 。 为 了 能 够 从 根本 上 消除 入 侵 行为 ,本 
文 提出 了 一 种 基于 移动 代理 的 主动 人 侵 响应 模型 。 该 模型 利用 代理 监视 网 络 运行 , 当 发 现 
入 侵 者 后 ,通过 移动 代理 在 入 侵 者 周围 形成 一 道 移动 防火 墙 .将 入 侵 者 包围 并 隔离 于 网 络 ， 
最 终 消除 入 侵 行 为 。 本 章 的 创新 之 处 在 于 ,提出 移动 防火 墙 的 概念 .并 将 其 运用 于 主动 人 侵 
响应 。 
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6.2 相关 研究 


主动 和 人 侵 响应 在 固定 网 络 方面 已 经 进行 多 年 的 研究 ,提出 的 一 些 方案 大 致 可 以 分 为 三 
类 : 基于 协议 增强 技术 、 基 于 移动 代理 技术 、 基 于 主动 网 络 技术 。 基 于 协议 增强 技术 的 主动 
响应 ,主要 思想 是 对 相关 网 络 协议 进行 了 修改 或 增加 一 些 协议 ,使 得 网 络 中 的 路 由 器 、 防 火 
墙 等 能 够 支持 对 入 侵 者 的 跟踪 与 响应 。 相 关 论 文 有 D. Schnackenberg 等 人 提出 的 一 种 协 
同 入 侵 跟踪 与 响应 架构 (CITRA)D9 ,该 架构 将 入 侵 检 测 、 防 火 墙 和 路 由 器 组 成 一 个 整体 来 
追踪 人 侵 源 并 在 入侵 者 附近 阻止 人 侵 行 为 。 其 具备 的 功能 为 跨越 网 络 边界 追踪 入 侵 者 、 阻 
止 人 侵 者 继续 危害 网 络 .报告 人 侵 行 为 ,协调 入 侵 响应 。 该 架构 的 核心 是 入 侵 跟 踪 与 孤立 协 
议 (IDIP)59 。IDIP 将 网 络 分 为 多 个 域 ,每 个 域内 有 一 个 协调 管理 者 。IDIP 协议 中 对 于 一 
次 攻击 ,首先 检测 到 入 侵 的 节点 会 向 它 所 有 的 邻居 节点 IDIP 发 送 一 个 事件 报告 ,接收 到 的 
节点 会 首先 判断 自己 是 否 在 攻击 路 径 上 ,如 果 是 , 它 将 会 继续 发 送 这 个 事件 报告 给 其 他 的 邻 
居 节 点 。 所 有 在 攻击 路 径 上 的 节点 在 向 邻居 节点 IDIP 发 送 事 件 报告 的 同时 ,会 把 这 份 报告 
和 它 已 采取 的 响应 发 送 给 协调 管理 者 ,协调 管理 者 综合 各 节点 的 信息 ,协调 各 节点 的 响应 ， 
从 而 达到 全 局 最 优 的 响应 。CITRA 和 IDIP 通过 各 个 网 络 之 间 信 息 的 交换 ,对 路 由 器 ,防火 
墙 和 主机 的 重新 配置 ,实现 跨 多 个 网 络 对 入 侵 者 的 自动 追踪 ,最 后 将 入 侵 者 在 当地 予以 孤 
Yo Dan Sterne 对 上 述 架 构 和 协议 进行 了 实验 ,结果 显示 其 对 分 布 式 DoS 攻击 有 着 良好 的 
防御 效果 57 。 

基于 移动 代理 技术 的 主动 人 侵 响应 ,其 主要 思想 是 利用 移动 代理 来 实现 网 络 人 侵 检测 
和 响应 功能 。Curtis A. Carver 提出 一 种 基于 代理 自 适应 技术 入 侵 响应 系统 框架 (Adaptive 
Agent-based Intrusion Response System,AAIRS)Ds] ,在 AAIRS 中 ,入 侵 检 测 系统 监视 整 
个 网 络 系统 并 产生 安全 事件 报告 。AAIRS 接口 代理 把 事件 表示 为 统一 格式 ,并 依据 对 以 往 
误 报 率 的 统计 ,赋予 当前 人 侵 事件 一 个 可 信 度 值 , 可 信和 度 由 专家 赋值 ,并 在 检测 过 程 中 采用 
自学 习 方式 动态 更 新 ,将 这 个 值 与 事件 报告 交 给 主 分 析 代理 。 主 分 析 代 理 首先 判断 当前 事 
件 是 一 个 新 的 攻击 ,还 是 一 个 原 有 攻击 的 延续 ; 若是 一 个 新 的 攻击 , 则 创建 一 个 新 的 分 析 代 
理 来 进行 响应 分 析 ; 如 果 是 一 个 已 有 攻击 的 延续 , 则 将 事件 报告 和 可 信 度 交 给 与 原 有 攻击 
相对 应 的 分 析 代理 进行 处 理 。 分 析 代 理 将 会 调用 响应 分 类 代理 对 事件 进行 详细 分 类 , 据 此 
产生 相应 的 响应 策略 ; 分 析 代 理 还 会 调用 策略 规范 代理 以 保证 响应 策略 符合 道德 ,法律 、 系 
统 安全 政策 以 及 资源 和 环境 等 约束 ; 最 后 分 析 代理 将 决策 产生 的 响应 策略 传 给 响应 决策 代 
理 。 响 应 决策 代理 将 响应 策略 分 解 为 具体 的 响应 步骤 ,并 调用 响应 工具 库 中 相应 的 程序 来 
执行 响应 。 在 分 析 代 理 对 响应 策略 决策 的 过 程 中 和 响应 决策 代理 对 具体 响应 动作 的 决策 过 
程 中 ,都 引入 了 自 适 应 技术 ; 系统 记录 每 次 响应 的 结果 ,统计 不 同 策略 和 具体 响应 措施 在 以 
往事 件 中 成 功 响 应 的 概率 ,并 据 此 优化 响应 的 决策 过 程 。 

基于 主动 网 络 技术 的 主动 人 侵 响应 ,其 主要 思想 是 利用 主动 网 络 的 功能 ,实现 对 和 人 侵 者 
的 查找 ,并 在 入侵 者 附近 实现 封 堵 。 主 动 网 络 由 一 组 称 为 主动 节点 的 网 络 节点 构成 9 。 每 
个 主动 节点 可 以 是 路 由 器 或 交换 机 ,这 些 主动 节点 共同 构成 了 主动 网 络 的 执行 环境 。 主动 
网 络 中 的 报 文 ,内 艇 可 执行 代码 , 当 其 流 经 主动 节点 时 , 报 文中 的 程序 被 激活 执行 ,从 而 改变 
消息 自身 的 内 容 或 改变 主动 节点 的 环境 状态 。 当 发 现 和 人 侵 后 ,及 时 找到 入 侵 源 就 可 以 更 好 
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地 做 出 有 效 响应 ,如 果 不 能 有 效 地 追踪 到 入 侵 源 ,入 侵 响应 只 能 被 动 地 限制 在 受害 主机 附 
近 。 例 如 , 当 发 现 攻击 时 , 越 是 在 入侵 源 附 近 采 取 阻 断 、 隔 离 等 措施 ,响应 的 效果 就 越 好 。 所 
以 ,入 侵 跟 踪 在 网 络 人 侵 响应 中 非常 重要 。 根 据 主 动 网 络 的 特点 ,如 果 采 用 基于 主动 网 络 的 
入 侵 响应 ,可 以 很 好 地 实现 入 侵 跟踪 和 自动 响应 。X. Wang 提出 一 种 利用 水 印 技术 追踪 入 
侵 行为 ,并 将 入 侵 者 进行 孤立 的 算法 "Hn 。 该 算法 利用 主动 网 络 技术 , 报 文通 过 路 由 器 时 
留 下 一 些 痕迹 一 一 水 印 , 当 发 现 攻击 行为 时 ,可 以 通过 激活 这 些 水 印 , 达 到 实时 跟踪 入 侵 者 
并 在 当地 子 以 阻 断 。 

上 述 各 种 主动 响应 算法 只 适用 于 有 线 固定 网 络 的 入 侵 检 测 与 主动 响应 ,对 于 无 线 自 组 
织 网 络 ,由 于 其 动态 拓扑 、 无 线 信道 的 特点 ,使 得 上 述 方案 无 法 适用 。 


6.3 ”入侵 响应 模型 


移动 代理 是 为 了 达到 某 个 特定 的 目标 ,在 对 外 部 环境 的 相互 作用 基础 上 ,通过 对 环境 状 
态 的 认识 以 及 和 其 他 代理 的 协作 ,自主 地 推进 问题 解决 的 处 理 单 位 。 移 动 代理 具有 以 下 

(1) 自主 性 。 代 理 拥 有 内 部 自治 机 制 和 问题 解决 机 制 , 能 够 控制 自己 的 行为 和 内 部 状 
态 。 无 需 外 界 的 指令 即 可 根据 自己 的 知识 和 收集 到 的 信息 进行 判断 和 行为 。 

(2) 协作 性 。 代 理 之 间 相互 通信 合作 ,共同 完成 某 项 任务 。 

(3) 反应 性 。 代 理 能 够 根据 网 络 环境 的 变化 做 出 适当 的 调整 ,具有 自 适 应 能 力 。 

(4) 移动 性 。 代 理 能 够 自主 地 通过 网 络 从 一 台 主 机 移动 到 另 一 台 主机 。 移 动 代理 具有 
特点 适用 于 在 无 线 自 组 织 网 络 中 执行 入 侵 响 应 任务 ,用 它 来 实现 用 户 的 入 侵 响 应 系统 。 

入 侵 响 应 系统 模型 如 图 6-1 所 示 。 首 先 要 对 网 络 节点 行为 进行 监视 ,发 现 人 侵 者 ,实现 
入 侵 检测 。 然 后 将 入侵 者 及 其 人 侵 行 为 信息 交 给 响应 决策 组 件 , 做 出 是 否 响 应 的 决策 。 最 
后 由 响应 执行 机 构 具 体 实施 响应 ,在 执行 响应 过 程 中 实时 监控 执行 效果 ,如 果 入 侵 行为 停 
止 , 则 停止 响应 执行 。 在 系统 模型 中 的 入 侵 检 测 部 分 在 第 5 章 已 经 进行 了 设计 和 实现 ,本 章 
主要 讨论 响应 决策 和 响应 执行 。 当 入 侵 检 测 系统 发 现 人 侵 行 为 时 , 它 将 具体 的 情况 发 给 决 
策 代理 ,由 决策 代理 根据 决策 知识 库 做 出 决策 。 因 为 主动 响应 也 会 造成 网 络 资源 的 占用 和 
消耗 ,所 以 当 入 侵 行 为 对 网 络 损害 较 小 时 ,可 不 启动 主动 响应 。 如 果 做 出 响应 的 决定 ,决策 
代理 将 产生 阻击 代理 。 阻 击 代理 担任 响应 执行 的 任务 。 这 些 阻击 代理 移动 并 驻 留 人 侵 者 周 
围 的 节点 ,形成 一 道 移动 防火 墙 将 入 侵 者 包围 隔离 ,同时 将 其 链 路 断 开 , 阻 止 其 任何 报 文 的 
发 送 与 接收 。 


=| 入侵 检测 | 响应 决策 =| 响应 执行 一 一 一 一 


响应 评估 | 


决策 知识 库 
图 6-1 入 侵 响 应 系统 模型 
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6.4 主动 入 侵 响应 机 制 


6.4.1 移动 防火 墙 


在 固定 网 络 中 ,防火 墙 是 安装 于 整个 网 络 的 入 口 处 ,负责 过 滤 不 安全 的 报 文 ,以 保护 内 
部 主机 免 受 外 部 的 攻击 。 无 线 自 组 织 网 络 由 于 节点 可 随意 移动 ,没有 明确 的 网 络 边界 ,所 以 
无 法 使 用 防火 墙 。 另 外 ,移动 节点 可 能 被 截获 而 成 为 攻击 者 ,导致 攻击 从 内 部 产生 ,防火 墙 
是 无 法 对 内 部 攻击 的 。 因 此 ,我 们 设计 了 移动 防火 墙 来 阻击 内 部 入侵 者 。 无 线 自 组 织 网 络 
中 节点 之 间 的 通信 必须 借助 邻居 节点 的 转发 ,如 果 邻 居 节 点 拒绝 转发 报 文 某 个 节点 , 则 该 节 
点 都 就 被 隔绝 于 网 络 。 移 动 防火 墙 就 是 利用 上 述 思想 进行 设计 的 。 当 决策 代理 发 现 人 侵 者 
时 ,产生 阻击 代理 。 阻 击 代理 到 达 入 侵 者 周围 的 节点 包围 入 侵 者 ,在 其 周围 形成 一 道 移 动 防 
火 墙 ,将 入 侵 者 隔绝 于 网 络 , 阻 止 其 进行 攻击 。 传 统 的 防火 墙 是 用 于 防止 网 络 之 外 的 攻击 ， 
移动 防火 墙 却 是 用 于 阻止 内 部 的 人 侵 者 。 

无 线 自 组 织 网 络 中 的 节点 都 是 移动 的 ,入 侵 者 也 可 以 随意 移动 。 当 阻击 代理 在 其 周围 
形成 防火 墙 时 ,入 侵 者 可 以 移动 而 离开 包围 圈 , 导 致 对 入 侵 者 隔绝 失败 。 因 此 ,防火 墙 必须 
是 可 以 移动 的 ,而 且 以 人 侵 者 的 移动 为 导向 ,随时 将 其 包围 在 防火 墙 之 内 。 为 了 实现 这 个 目 
标 , 用 户 的 移动 防火 墙 由 两 层 组 成 。 第 一 层 是 阻击 层 , 由 入 侵 者 周围 的 节点 组 成 ,负责 包 半 
并 隔绝 人 侵 者 。 第 二 层 是 防御 层 , 申 阻击 层 外 围 的 节点 组 成 ,负责 防止 人 侵 者 逃脱 。 防 御 层 
节点 平时 只 是 监视 入 侵 者 的 作用 ,并 不 进行 阻击 , 当 入 侵 者 移动 到 防御 节点 周围 时 ,防御 节 
点 就 变 成 了 阻击 节点 ,同时 在 其 外 围 又 形成 防御 节点 。 为 进一步 论述 如 何 实现 防火 墙 的 移 
动 ,下 面 举 一 个 例子 说 明 , 如 图 6-2 所 示 。 


图 例 : 


GAB AR 
--- 阻 击 层 
一 -一 防御 层 
OH 
图 6-2 移动 防火 墙 和 入侵 者 
图 6-2 中 无 线 自 组 织 网 络 由 23 个 节点 组 成 ,节点 X EARI A. WA S TUW 组 成 


防火 墙 的 阻击 层 , 负 责 切断 入 侵 者 的 通信 和 链 路 ,隔绝 人 侵 者 。 阻 击 层 外 围 节点 J KLM, 
O.P.Q、IR 组 成 防火 墙 的 防御 层 。 当 入 侵 节点 移动 时 ,如 图 6-3 所 示 ,节点 开工 成 为 人 侵 
节点 的 邻居 ,它们 就 由 防御 节点 转化 为 阻击 节点 ,其 外 围 节点 B.C、D 又 形成 新 的 防御 节 
点 。 防 火 墙 重新 布局 ,阻击 层 为 节点 K LAT S ,防御 层 为 节点 J, B,C DM, UW, R, UH 
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入 侵 者 X 包围 在 移动 防火 墙 内 部 。 不 同 功能 的 节点 ,实际 是 阻击 代理 在 不 同 节点 上 发 挥 不 
同 的 作用 。 当 节点 与 人 侵 者 相 邻 时 ,其 节点 上 的 阻击 代理 就 发 挥 切断 入 侵 者 的 通信 链 路 的 
作用 ,该 节点 就 叫 阻 击 节点 。 当 节点 是 阻击 节点 的 外 围 时 ,其 节点 上 的 阻击 代理 就 只 起 监视 
作用 ,此 节点 就 叫 防御 节点 。 当 入 侵 者 移动 ,防御 节点 变 成 阻击 节点 时 ,其 上 的 阻击 代理 会 
繁殖 一 些 代理 移动 到 外 用 节点 ,重新 构成 防御 层 。 
而 一 些 阻击 节点 由 于 不 再 与 人 侵 者 相 邻 会 变 成 防御 
节点 ,一 些 防 御 节 点 会 变 成 普通 节点 ,节点 O.P.Q、I 
因为 入 侵 者 离开 而 成 为 普通 节点 ,其 上 的 阻击 代理 
会 因 超时 而 死亡 。 通 过 上 述 方法 实现 了 防火 墙 的 实 
时 移动 ,随时 将 入 侵 者 包围 并 隔绝 于 网 络 。 为 了 节 
省 资源 ,移动 防火 墙 并 不 是 永远 存在 , 它 与 攻击 者 同 
存亡 。 只 要 和 人 侵 者 存在 并 攻击 ,移动 防火 墙 就 存在 ，、 
但 当 入 侵 者 资源 耗 尽 , 停 止 攻击 时 ,过 一 段 时 间 节 点 
上 的 阻止 代理 会 因 攻 击 源 消失 而 自行 消失 ,移动 防 
火 墙 也 就 不 存在 了 。 


图 6-3 ”入侵 者 移动 后 重新 形成 防火 墙 


6.4.2 阻击 代理 的 移动 方式 


当 决 策 代 理发 现 人 侵 者 时 ,产生 阻击 代理 将 入 侵 者 包围 并 隔离 。 但 决策 代理 并 不 一 定 
就 在 人 侵 者 周围 ,可 能 会 有 一 段 距离 ,此 时 如 果 决 策 代 理 产 生 大 量 阻 击 代理 同时 向 和 人 侵 者 方 
向 移动 ,会 过 多 占用 信道 ,导致 网 络 拥塞 。 为 了 减少 对 资源 的 占用 ,我 们 设计 一 种 节省 资源 
的 移动 方式 ,我 们 称 之 为 开花 弹 方式 , 即 当 炮弹 到 达 目 标 上 空 时 才 爆 炸 ,产生 无 数 子弹 来 消 
灭 敌 人 。 当 决策 代理 发 现 入 侵 者 时 ,也 只 产生 一 个 阻击 代理 ,向 入 侵 者 移动 ,到 达 入 侵 者 周 
围 的 节点 时 ,这 个 阻击 代理 复制 许多 阻击 代理 , 散 开 在 入 侵 者 周围 ,形成 移动 防火 墙 将 入 侵 
者 包围 并 隔离 。 


6.4.3 本 地 修复 


人 侵 者 节点 在 没有 被 发 现 之 前 ,在 网 络 中 参与 路 径 转发 ,会 成 为 多 个 路 径 的 中 间 节 点 ， 
当 其 识别 并 隔离 之 后 ,通过 入 侵 者 的 路 径 就 要 被 中 断 。 为 了 减少 路 径 损 失 ,提出 本 地 修复 的 
策略 。 即 当 入 侵 者 被 隔离 后 ,被 中 断路 径 的 上 游 节 点 ,发 起 一 个 路 由 查询 ,寻找 一 条 绕 过 人 
侵 者 的 路 径 , 如 果 能 够 找到 这 样 一 条 路 径 ,将 这 条 路 径 蔡 换 已 经 中 断 的 路 径 , 就 等 于 将 这 条 
路 径 修复 正常 了 。 如 果 不 能 发 现 绕 过 入 侵 者 的 路 径 ,就 只 能 向 源 节 点 发 送 一 条 路 径 中 断 的 
消息 。 由 源 节点 进行 路 由 查询 了 。 


6.5 实例 分 析 


为 了 进一步 前 述 我 们 设计 的 安全 架构 的 功能 和 特点 ,本 节 举 一 个 例子 来 说 明 整 个 人 侵 
检测 和 响应 的 过 程 。 图 6-4 为 一 个 无 线 自 组 织 网 络 的 拓扑 图 。 
图 6-4 中 有 15 个 移动 节点 ,从 节点 A 到 节点 O, 相 邻 节点 通过 双向 链 路 进行 连接 ,其 中 
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Dr M 图 例 ， 
= Ei OBR 
口 决策 代理 驻 留 的 节点 
人 入 侵 节 点 
se va 一 -一 双向 链 路 
om A uu 


6-4 一 个 无 线 自 组 织 网 络 拓扑 图 


节点 H 为 入 侵 者 ,每 个 节点 都 驻 留 监视 代理 ,监听 并 收集 其 邻居 节点 的 行为 信息 ,三 个 节点 
ch pane pennies 其 区 域内 信息 的 汇总 与 决策 ,如 节点 上 上 的 决策 代理 就 负 
责 汇总 节点 D、E、M.L 节点 上 监视 代理 所 收集 的 信息 。 

图 6-5 显示 入 侵 节 点 H 开始 发 动 拒绝 服务 攻 
击 , 它 向 整个 网 络 泛 洪 发 送 大 量 无 用 数据 报 文 或 
路 由 查询 报 文 ,数据 报 从 入 侵 者 周围 节点 开始 向 
整个 网 络 扩散 ,大 量 占用 和 消耗 网 络 资源 ,导致 其 
他 节点 无 法 正常 传送 报 文 。 

整个 安全 架构 的 响应 可 分 为 入 侵 检测 和 入 侵 
响应 两 个 过 程 , 首 先是 入 侵 检 测 ,节点 FG ID 
Æ H 的 邻居 ,在 节点 FGI, D 上 的 监视 代理 时 
刻 监视 节点 AL 的 行为 并 将 其 行为 进行 编码 , 当 H 
节点 连续 发 送 查询 报 文 时 ,下 节点 上 的 代理 将 编 一 一 攻击 报 文 传播 路 线 
码 发 往 C 节点 上 的 决策 代理 ,D 节点 上 代理 的 监 图 6-5 入 侵 节 点 发 动 攻 击 
视 数据 发 向 工 节点 ,G、I 节点 上 代理 的 监视 数据 
发 往 O 节点 。 决 策 代理 调用 策略 库 中 的 路 由 规范 进行 判断 。 判 断 为 入 侵 行为 后 ,下 一 步 进 
行人 侵 响 应 ,决策 代理 的 响应 模块 开始 产生 阻击 代理 。 在 节点 CL、O 上 的 决策 代理 判断 有 
入 侵 后 ,分 别 产 生 阻 击 代理 。 节 点 C 上 决策 代理 产生 的 阻击 代理 沿 CF 链 路 到 达 入 侵 者 五 
的 邻 节点 下 ,到 达 后 将 节点 下 与 人 侵 者 H 的 链 路 FH 中 断 ,拒绝 H 节点 的 任何 路 由 报 文 。 
同样 ,节点 工 和 O 上 的 决策 代理 产生 的 阻击 代理 分 别 到 达 入 侵 者 的 另外 三 个 邻居 节点 DD 、 
I.G, 同 时 将 其 与 节点 H 的 链 路 DH 、IH、GH 断 开 。 这 样 入 侵 者 日 虽然 在 网 络 中 ,但 已 完 
全 被 其 周围 节点 隔离 。 如 图 6-6 所 示 ,阻击 代理 移动 到 入 侵 者 周围 四 个 节点 驻 留 ,形成 一 道 
移动 防火 墙 ,如 图 中 的 虚线 ,将 入侵 者 隔离 。 图 6-6 显示 阻击 代理 的 移动 和 孤立 的 过 程 。 

从 上 述 分 析 可 以 看 出 ,遍布 整个 网 络 的 监视 代理 实现 对 每 个 节点 的 监控 ,将 节点 的 行为 
编码 后 发 送 到 决策 代理 ,决策 代理 进行 判断 。 如 果 发 现 和 人 侵 者 , 则 决策 代理 产生 阻击 代理 ， 
由 阻击 代理 将 入 侵 者 包围 并 隔离 ,最 终 消除 人 侵 的 影响 ,实现 网 络 的 正常 运转 ,整个 过 程 是 
自动 进行 的 ,无 需 人 工 干 预 ,实现 了 实时 的 主动 入 侵 响应 。 
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图 例 : 
O 移动 节点 
D 决策 代理 驻 留 的 节点 
A 入 侵 节 点 
© 阻击 代理 驻 留 的 节点 
-一 阻击 代理 移动 路 线 
x 中 断 链 路 连接 


图 6-6 阻击 代理 包围 并 孤立 人 侵 节 点 


6.6 模拟 实验 


6.6.1 实验 设置 


实验 平台 为 Pentium 4, 配 置 为 CPU 主 频 1. 8GHz,RAM 容量 为 512MB, 使 用 的 操作 系统 
是 Red Hat Linux 7. 2, 网 络 仿真 平台 是 ns-2 2. 26(Network Simulator Version 2. 26) 。 仿 
真 中 ,节点 总 数 设置 为 50 个 ,节点 运动 范围 1500m X 300m, 运 动 速度 0 一 20m/s, 网 络 中 节 
点 的 运动 方式 采用 随机 运动 模型 , 即 每 个 节点 在 该 区 域内 从 一 点 向 另 一 点 运动 ,运动 速度 在 
[0,20my/s] 内 均匀 分 布 , 到 达 目 标点 后 ,停留 一 段 时 间 , 然 后 随机 选择 一 个 新 的 目标 点 和 一 
个 新 的 速度 ,向 新 的 目标 点 运动 ,以 此 类 推 ,直至 仿真 结束 。MAC 层 使 用 的 802. 11 ,传输 半 
径 为 250m, 链 路 带宽 为 2Mb/s。 模 拟 时 间 为 900s。 

测试 收集 以 下 两 种 数据 : 

(1) 分 组 传递 率 (packet delivery rate) 。 应 用 层 信 源 发 送 的 分 组 数目 与 信 宿 接收 分 组 
数目 之 比 。 它 描述 的 是 通过 应 用 层 观察 到 的 报 文 丢失 率 , 又 反映 了 网 络 所 支持 的 最 大 吞吐 
量 。 它 是 路 由 协议 完成 性 和 正确 性 的 指标 。 

(2) 平均 延迟 (average delay)。 它 是 报 文 从 源 节点 到 目标 节点 的 平均 传输 时 间 , 它 反映 
了 网 络 性 能 。 


6.6.2 实验 结果 


在 实验 中 ,监视 代理 驻 留 在 每 个 节点 。 决 策 代理 不 是 在 每 个 节点 上 都 驻 留 ,而 是 划分 区 
域 ,每 个 区 域内 有 一 个 决策 代理 。 阻 击 代理 在 节点 之 间 的 移动 实现 起 来 较为 困难 ,在 模拟 实 
验 中 进行 了 简化 ,阻击 代理 首先 驻 留 在 每 个 节点 上 ,处 于 休眠 状态 , 当 需 要 阻击 代理 移动 时 ， 
只 要 决策 代理 发 一 个 报 文 到 节点 上 ,就 可 以 激活 阻击 代理 。 实 验 前 200s 时 ,没有 入侵 者 。 
从 第 200s 开始 ,入 侵 者 开始 攻击 ,其 后 主动 入 侵 响应 开始 ,阻击 代理 形成 移动 防火 墙 将 入 侵 
者 包围 并 隔离 。 每 100s 统计 一 次 分 组 传递 率 和 传输 延迟 。 从 图 6-7 和 图 6-8 实验 结果 可 以 
看 出 ,受到 攻击 时 ,分 组 传递 率 明显 下 降 , 最 低 时 只 有 大 约 一 半 的 报 文 能 够 传输 到 目标 节点 。 
主动 人 侵 响应 开始 后 ,入 侵 者 被 包围 并 隔离 ,分 组 传递 率 开始 上 升 , 最 终 达 到 90%% 左 右 。 虽 
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然 防火 墙 隔离 了 入 侵 节 点 ,消除 了 攻击 行为 ,但 防火 墙 本 身 及 其 移动 过 程 也 会 占用 节点 和 通 
信 资 源 ,所 以 分 组 传递 率 无 法 达到 没有 入侵 者 时 的 水 平 。 从 图 6-8 也 可 以 看 出 ,有 攻击 时 ， 
报 文 传输 延迟 大 大 增加 ,入 侵 响应 开始 后 ,传输 延迟 缓慢 下 降 ,最 终 达到 200ms 左右 。 从 实 
验 结果 证 实 移动 防火 墙 能 够 有 效 地 阻止 人 侵 行 为 。 

1.0 500 


0.8 


报 文 传递 率 /% 


1 hn 1 1 1 1 " 
0 200 400 600 800 0 200 400 600 800 
时 间 /s 时 间 /s 


图 6-7 入 侵 响 应 前 后 分 组 传递 率 变化 图 图 6-8 ”入 侵 响应 前 后 分 组 传输 延迟 变化 图 


6.7 小 结 


本 节 介 绍 一 种 基于 移动 代理 的 主动 人 侵 响应 模型 ,通过 监视 代理 实现 对 整个 无 线 自 组 
织 网 络 中 每 个 节点 行为 的 监视 ,将 各 个 节点 的 行为 信息 送 往 决策 代理 进行 判断 ,识别 人 侵 者 
后 ,通过 阻击 代理 形成 移动 防火 墙 将 入 侵 者 包围 并 隔离 ,最终 阻止 了 入 侵 行为 。 模 拟 实验 证 
实 主动 人 侵 响 应 模型 的 有 效 性 。 
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第 7 章 ”无线 局 域 网 的 安全 


摘要 : 无 线 局 域 网 (WLAN) 是 近年 来 发 展 迅速 的 无 线 数 据 通信 网 ,但 在 
发 展 同时 , 它 又 面临 着 许多 安全 问题 。 本 章 首先 对 无 线 局 域 网 进行 了 概述 ， 
然后 对 无 线 局 域 网 的 安全 风险 和 安全 需求 进行 了 分 析 , 最 后 重点 六 述 了 无 线 
局 域 网 的 安全 技术 以 及 安全 协议 。 

关键 字 : 无 线 局 域 网 、 安 全 风险 、 安 全 需求 、 安 全 技术 、 安 全 协议 。 


7.1 概述 


无 线 局 域 网 (Wireless Local Area Network, WLAN) 是 高 速 发 展 的 现代 
无 线 通信 技术 在 计算 机 网 络 中 的 应 用 , 它 采 用 无 线 多 址 信道 的 有 效 方式 支持 
计算 机 之 间 的 通信 ,并 为 通信 的 移动 化 个 人 化 和 多 媒体 应 用 提供 了 实现 的 
手段 。 随 着 个 人 数据 通信 的 发 展 , 功 能 强大 的 便携 式 数据 终端 以 及 多 媒体 终 
端 得 到 了 广泛 应 用 。 为 了 实现 任何 人 在 任何 时 间 、 任 何 地 点 均 能 进行 数据 通 
信 的 目标 ,要 求 传统 的 计算 机 网 络 由 有 线 向 无 线 、 由 同 定 向 移动 .由 单一 业务 
向 多 媒体 发 展 ,顺应 这 一 需求 的 无 线 局 域 网 技术 因此 得 到 了 普遍 的 关注 。 无 
线 局 域 网 以 其 方便 ,快捷 、 廉 价 等 诸多 优势 ,在 企 事 业内 部 和 公共 热点 地 区 等 
领域 的 应 用 中 很 快 取得 了 长 足 的 发 展 和 巨大 的 成 功 。 


7.1.1 无 线 局 域 网 协议 栈 


IEEE 802. 11 定义 了 无 线 局 域 网 物理 层 和 介质 访问 控制 子 层 MAC 层 规 
范 。 其 协议 栈 如 图 7-1 所 示 , 对 应 于 OSI 模型 中 的 物理 层 和 数据 链 路 层 中 的 
MAC 子 层 。 其 中 物理 层 定 义 了 通过 无 线 连 接 所 必需 的 机 械 和 电气 特性 ; ME 
体 访问 控制 层 则 定义 了 两 个 数据 链 路 层 之 间 建 立 和 维持 数据 传输 ,并 将 数据 
流 无 差错 的 提供 给 网 络 层 的 功能 。 

1. 物理 层 关键 技术 

在 较为 复杂 的 电磁 环境 中 ,多 径 效 应 、 频 率 选 择 性 衰落 和 其 他 干扰 源 的 
存在 使 得 实现 无 线 信 道 的 高 速 数据 传输 比 有 线 信道 更 困难 ,WLAN 需要 采 
用 合适 的 调制 技术 。 

CD 扩 频 。 所 谓 扩 频 通信 ,简单 地 说 , 它 是 一 种 信息 传输 方式 ,其 信和 号 所 
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应 用 层 
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物理 层 介质 访问 控制 (MAC) 


图 7-1 802.11 与 OSI 模型 


占有 的 频带 宽度 远大 于 所 传 信息 必需 的 最 小 带宽 ; 频带 的 展 宽 是 通过 编码 及 调制 的 方法 实 
现 的 ,并 与 所 传 信息 数据 无 关 ; 在 接收 端 则 用 相同 的 扩 频 码 进行 相关 解 调 来 解 扩 及 恢复 所 
传 信息 数据 ,具有 较 高 抗 干扰 能 力 和 较 强 的 保密 性 。 扩 频 技 术 包 括 以 下 几 种 方式 : 直接 序 
列 扩展 频谱 ,简称 直 扩 (DS) 、 跳 频 (FH)、 跳 时 (TH) ,线性 调频 (chirp)。 此 外 ,还 有 这 些 扩 频 
方式 的 组 合 方式 ,如 FH/DS、TH/DS、FH/TH 等 ,在 通信 中 应 用 较 多 的 主要 是 DS、FH 和 
FH/DS. 

(2) DSSS 调制 技术 。 基 于 DSSS 的 调制 技术 有 三 种 。 最 初 IEEE 802. 11 标准 制定 在 
1Mb/s 数据 速率 下 采用 DBPSK。 如 提供 2Mb/s 的 数据 速率 ,要 采用 DQPSK ,这 种 方法 每 
次 处 理 两 个 比特 码 元 ,成 为 双 比 特 。 第 三 种 是 基于 CCK 的 QPSK, 是 IEEE 802. 11b 标准 采 
用 的 基本 数据 调制 方式 。 它 采用 了 补 码 序列 与 直 序 列 扩 频 技术 ,是 一 种 单 载波 调制 技术 , 通 
过 PSK 方式 传输 数据 ,传输 速率 分 为 1Mb/s、5. 5Mb/s 和 11Mb/s。CCK 通过 与 接收 端的 
Rake 接收 机 配合 使 用 ,能 够 在 高 效率 的 传输 数据 的 同时 有 效 地 克服 多 径 效应 。IEEE 802. 11b 
使 用 了 CCK 调制 技术 来 提高 数据 传输 速率 ,最 高 可 达 11Mb/s。 但 是 传输 速率 超过 11Mb/s， 
CCK 为 了 对 抗 多 径 干 扰 ,需要 更 复杂 的 均衡 及 调制 ,实现 起 来 非常 困难 。 因 此 ,802. 11 工 
作 组 ,为 了 推动 无 线 局 域 网 的 发 展 ,又 引入 新 的 调制 技术 。 

(3) PBCC 调制 技术 。PBCC(Packet Binary Convolution Coding) 调 制 技术 是 由 TI 公 
司 提出 的 ,已 作为 802. 11g 的 可 选项 被 采纳 。PBCC 也 是 单 载波 调制 ,但 它 与 CCK 不 同 , 它 
使 用 了 更 多 复杂 的 信号 星座 图 。PBCC 采用 8PSK. ,而 CCK 使 用 BPSK/QPSK; 另外 PBCC 
使 用 了 卷 积 码 ,而 CCK 使 用 区 块 码 。 因 此 ,它们 的 解 调 过 程 是 十 分 不 同 的 。PBCC 可 以 完 
成 更 高 速率 的 数据 传输 ,其 传输 速率 为 11Mb/s、22Mb/s 和 33Mb/s. 

(4) OFDM 技术 。OFDM 技术 是 一 种 无 线 环境 下 的 高 速 多 载波 传输 技术 。 无 线 信 道 
的 频率 响应 曲线 大 多 是 非 平坦 的 ,而 OFDM 技术 的 主要 思想 : 就 是 在 频 域内 将 给 定 信道 分 
成 许多 正 交 子 信道 ,在 每 个 子 信道 上 使 用 一 个 子 载波 进行 调制 ,并 且 各 子 载波 并 行 传输 ,从 
而 有 效 的 抑制 无 线 信道 的 时 间 弥 散 所 带 来 的 ISI。 由 于 在 OFDM 系统 中 各 个 子 信道 的 载波 
相互 正 交 , 于 是 它们 的 频谱 是 相互 重生 的 ,这 样 不 但 减 小 了 子 载波 间 的 相互 干扰 ,同时 又 提 
高 了 频谱 利用 率 。 

由 于 无 线 信道 存在 频率 选择 性 ,所 有 的 子 信道 不 会 同时 处 于 比较 深 的 衰落 情况 中 ,因此 
可 以 通过 动态 比特 分 配 以 及 动态 子 信道 分 配 的 方法 ,充分 利用 信 噪 比 高 的 子 信道 ,从 而 提升 
系统 性 能 。 由 于 窗 带 干扰 只 能 影响 一 小 部 分 子 载波 ,因此 OFDM 系统 在 某 种 程度 上 抵抗 这 
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种 干扰 ,OFDM 系统 结构 如 图 7-2 所 示 。IEEE 802. 11 a/g 标准 为 了 支持 高 速 数据 传输 都 
采用 了 OFDM 调制 技术 。 目 前 ,OFDM 结合 时 空 编码 分 集 . 干 扰 ( 包 括 符号 间 干 扰 ISI 和 
邻 道 干 扰 ICD 抑 制 以 及 智能 天 线 技术 ,最 大 限度 的 提高 物理 层 的 可 靠 性 。 如 再 结合 自 适应 
调制 自 适应 编码 以 及 动态 子 载波 分 配 、 动 态 比 特 分 配 算法 等 技术 ,可 以 使 其 性 能 进一步 
优化 。 
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图 7-2 OFDM 系统 结构 框架 图 


(5) MIMO OFDM 技术 。MIMO 技术 能 在 不 增加 带宽 的 情况 下 成 倍 地 提高 通信 系统 
的 容量 和 频谱 利用 率 。 它 可 以 定义 为 发 送 端 和 接收 端 之 间 存在 多 个 独立 信道 ,也 就 是 说 天 
线 单元 之 间 存 在 充分 的 间隔 ,因此 消除 了 天 线 间 信号 的 相关 性 ,提高 信号 的 链 路 性 能 增加 了 
数据 春 吐 量 。 现 代 信 息 论 表明 : 对 于 发 射 天 线 数 为 N, 接 收 天 线 数 为 M 的 多 入 多 出 
(MIMO) 系统 ,假定 道 信 为 瑞 利 衰落 信道 ,并 设 N UM 很 大 , 则 信道 容量 C 近似 为 公式 C= 
[Lmin(M,N)Blog;(p/2)]( 其 中 B 为 信号 带宽 ,p 为 接收 端 平均 信 噪 比 ,minC(M,N) 为 M,N 
中 的 较 小 者 ) 。 这 表明 ,MIMO 技术 能 在 不 增加 带宽 的 情况 下 成 倍 地 提高 通信 系统 的 容量 
和 频谱 利用 率 。 研 究 表明 ,在 瑞 利 衰落 信道 环境 下 ,OFDM 系统 非常 适合 使 用 MIMO 技术 
来 提高 容量 。 采 用 MIMO 系统 是 提高 频谱 效率 的 有 效 方法 。 我 们 知道 ,多 径 衰 落 是 影响 通 
信 质 量 的 主要 因素 ,但 MINO 系统 却 能 有 效 地 利用 多 径 的 影响 来 提高 系统 容量 。 系 统 容量 
是 干扰 受 限 的 ,不 能 通过 增加 发 射 功率 来 提高 系统 容量 ,而 采用 MIMO 结构 不 需要 增加 发 
射 功率 就 能 获得 很 高 的 系统 容量 。 因 此 将 MIMO 技术 与 OFDM 技术 相 结 合 是 下 一 代 无 线 
局 域 网 发 展 的 趋势 。 

2. MAC 子 层 技术 

由 于 在 无 线 网 络 中 冲突 检测 较 困 难 ,IEEE 802. 11 规定 介质 访问 控制 (Medium Access 
Control, MAC) 子 层 采用 冲突 避免 (Collision Avoid,CA) 协 议 ,而 不 是 冲突 检测 (Collision 
Detect,CD) 协 议 。 为 了 尽量 减少 数据 的 传输 碰撞 和 重 试 发 送 ,防止 各 站 点 无 序 地 争 用 信 
道 , 无 线 局 域 网 中 采用 了 与 以 太 网 CSMA/CD 相 类 似 的 CSMA/CA (载波 监听 多 路 访问 / 冲 
突 防止 ) 协 议 。CSMA/CA 通信 方式 将 时 间 域 的 划分 与 帧 格式 紧密 联系 起 来 ,保证 某 一 时 
刻 只 有 一 个 站 点 发 送 , 实 现 了 网 络 系统 的 集中 控制 。 因 传输 介质 不 同 ,CSMAVCD 与 
CSMA/CA 的 检测 方式 也 不 同 。CSMA/CD 通过 电缆 中 电压 的 变化 来 检测 , 当 数 据 发 生 碰 
撞 时 ,电缆 中 的 电压 就 会 随 着 发 生变 化 ; 而 CSMA/CA 采用 能 量 检测 (Energy Detect, ED), 
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载波 检测 (Carrier Sense,CS) 和 能 量 载波 混合 检测 三 种 检测 信道 空闲 的 方式 。 

IEEE 802. 11 定义 基本 服务 群 (Base Service Set,BSS) 是 无 线 局 域 网 的 基本 单元 , 它 的 
功能 包括 分 布 式 协调 功能 (Distributed Coordination Function. DCF) 和 无 线 访 问 接 和 人 点 协 
调 功能 (Point Coordination Function,PCF)。 协 调 功 能 是 决定 在 BSS 内 工作 的 一 个 站 , 通 
过 无 线 介 质 何 时 允许 发 送 和 可 能 接收 协议 单元 的 逻辑 功能 。DCF 是 IEEE 802. 11 标准 中 
MAC 协议 的 基本 介质 访问 方法 , 它 作 用 于 基本 服务 群 和 基本 网 络 结构 中 ,可 在 所 有 站 实 
现 , 它 支持 竞争 型 异步 业务 ,而 PCF 可 支持 无 竞争 型 时 限 业务 及 无 竞争 型 异步 业务 。 在 
PCF 模式 中 ,将 由 一 个 无 线 访问 接 入 点 (Access Point. AP) 来 控制 对 介质 的 所 有 访问 。 在 系 
统 处 于 PCF 模式 期 间 , 负 责 控制 访问 的 无 线 访问 接 入 点 将 接纳 每 个 端 站 的 数据 ,经 过 给 定 
的 时 间 后 转移 到 下 一 站 。 除 非 某 个 端 站 被 接纳 ,否则 它 不 允许 进行 发 射 。 也 只 有 当 端 站 被 
接纳 以 后 ,它们 才 接 收 来 自 无 线 访问 接 入 点 的 数据 。 由 于 PCF 按 预 定 的 方式 给 每 个 端 站 确 
定 了 一 个 发 射 顺序 ,因此 保证 了 每 条 数据 流 的 最 大 延迟 。PCF 的 不 足 之 处 是 它 的 可 伸缩 性 
较 差 , 因 为 是 由 单一 的 无 线 访问 接 入 点 来 控制 媒体 访问 , 且 必 须 接纳 所 有 端 站 的 通信 ,所 以 
这 种 做 法 在 较 大 的 网 络 中 效率 较 低 。 

IEEE 802. 11 的 MAC 层 负 责 客 户 端 与 无 线 访 问 接 人 点 之 间 的 通信 。 当 一 个 802. 11 
客户 端 进入 一 个 或 多 个 无 线 访问 接 入 点 的 覆盖 范围 时 , 它 将 根据 信号 强度 和 监测 到 的 包 错 
误 率 ,选择 其 中 性 能 最 好 的 一 个 无 线 访问 接 入 点 并 与 之 联系 。 一旦 被 该 无 线 访问 接 入 点 接 
受 ,客户 端 会 将 无 线 信 和 道 调整 到 设置 无 线 访问 接 入 点 的 无 线 信道 。 它 定期 检测 所 有 的 
802. 11 信道 ,以 便 确定 是 否 有 其 他 的 无 线 访问 接 入 点 能 够 提供 更 好 的 性 能 。 如 果 检 测 到 存 
在 这 样 一 个 无 线 访问 接 入 点 , 它 将 与 新 的 无 线 访问 接 入 点 重新 建立 联系 ,客户 端 将 调整 到 设 
置 该 无 线 访问 接 人 点 的 无 线 信道 。 出 现 这 样 的 重新 连接 通常 是 由 于 无 线 端 站 在 物理 位 置 上 
离开 了 原始 无 线 访问 接 入 点 ,导致 信号 变 弱 。 此 外 , 当 建 筑 物 中 的 无 线 特性 发 生变 化 ,或 者 
原始 无 线 访问 接 入 点 的 网 络 通信 量 过 高 时 ,也 会 出 现 重新 联系 的 情况 。 在 后 一 种 情况 下 ,这 
个 功能 一 般 称 为 “负载 平衡 ", 因 为 它 的 主要 作用 是 将 总 体 的 无 线 LAN 负载 最 有 效 地 分 布 
到 可 用 的 无 线 基础 设施 中 。 

IEEE 802. 11 中 MAC 提供 的 服务 有 : 安全 服务 MSDU 重新 排序 服务 和 数据 服务 。 
其 中 安全 服务 提供 的 服务 范围 局 限于 站 与 站 之 间 的 数据 交换 ,其 内 容 为 : 加 密 、 验 证 ,与 层 
管理 实体 相 联 系 的 访问 控制 。IEEE 802. 11 标准 中 提供 了 WEP(Wired Equivalent 
Privacy) 加 密 算法 ,其 目标 是 为 无 线 LAN 提供 与 有 线 网 络 相同 级 别 的 安全 保护 。 另 外 ,为 
了 进行 访问 控制 ,ESSID 将 被 放置 到 每 个 无 线 访 问 接 人 点 中 , 它 是 无 线 客户 端 与 无 线 访问 
接 入 点 联系 所 必 不 可 少 的 。 除 此 之 外 ,每 个 无 线 访问 接 入 点 中 还 包括 一 个 有 关 MAC 地 址 
的 访问 控制 列表 ,只 有 那些 MAC 地 址 在 这 个 列表 中 的 客户 端 才能 对 无 线 访问 接 入 点 进行 
访问 。MSDU 重新 排序 服务 是 为 了 提高 成 功 发 送 的 可 能 性 ,只 有 在 节 电 方式 工作 下 的 站 ， 
且 不 处 于 激活 状态 , 才 可 先 将 MSDU 缓存 起 来 ,等 站 激活 时 再 突 发 出 去 ,对 缓存 数据 进行 重 
新 排序 。MAC 数据 服务 可 使 对 等 LLC 实体 进行 数据 单元 的 交换 ,本 地 MAC 利用 下 层 的 
服务 将 一 个 MSDU 传 给 一 个 对 等 的 MAC 实体 ,然后 又 传 给 对 等 的 LLC 实体 。 

IEEE 802. 11 物理 层 的 无 线 媒 体 决 定 了 WLAN 具有 独特 的 MAC 机 制 。IEEE 802. 11 
支持 两 种 不 同 的 MAC 方案 : 第 一 种 方案 是 分 布 协调 功能 (Distributed Coordination 
Function, DCF) ,其 中 DCF 采用 了 载波 多 路 访问 /冲突 避免 技术 (CSMA/CA), 类 似 于 以 太 
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网 标准 中 的 CSMAVCD ,支持 异步 数据 传输 等 异步 业务 ,所 有 要 传输 数据 的 用 户 拥有 平等 接 
入 网 络 的 机 会 。DCF 基于 载波 侦 听 多 址 接 入 /碰撞 预防 (CSMA/CA) 而 未 采用 有 线 LAN 
中 主要 使 用 的 载波 侦 听 多 址 接 入 /碰撞 检测 (CSMA/CD) 多 址 接 入 方式 。 这 是 因为 站 点 传 
输 时 听 不 到 信道 碰撞 。 由 于 无 线 信道 动态 范围 大 ,在 有 效 带 宽 内 采用 碰撞 检测 方式 是 很 困 
难 的 , 故 只 能 采取 随机 退 避 方式 以 减少 两 帧 碰撞 的 概率 。 第 二 种 方案 是 点 协调 功能 (Point 
Coordination Function, PCF) ,是 DCF 方式 的 一 个 补充 。 在 这 种 方式 下 ,由 AP 控制 移动 站 
点 的 数据 发 送 , 不 存在 信道 竞争 的 问题 。 基 于 由 接 人 点 控制 的 轮 询 (poll) 方 式 , 主 要 用 于 传 
输 实时 业务 。MAC FEH DCF 和 PCF 两 部 分 组 成 。DCF 直接 位 于 物理 层 之 上 。 所 有 站 
点 均 支 持 DCF。 在 Ad hoc 网 中 ,DCF 独立 工作 ; 在 基本 结构 网 中 ,DCF 可 独立 工作 也 可 与 
PCF 共同 工作 。MAC 子 层 负 责 信 道 分 配 过 程 .PDU 寻 址 、 帧 形成 .差错 校 验 、 分 组 拆 装 。 
传输 媒体 可 工作 于 竞争 方式 ,每 个 站 点 传输 任意 一 分 组 时 需 对 信道 进行 竞争 接 入 ; 媒体 也 
可 在 竞争 期 (Contention Period. CP) 和 非 浣 争 期 (Contention Free Period,CFP) 间 交替 工 
作 。 在 非 党争 期 间 , 媒 体 的 使 用 由 接 入 点 控制 或 作为 中 介 , 因 而 站 点 不 必 进 行 接 入 信道 竞争 。 


7.1.2 无 线 局 域 网 组 成 


802. 11 无 线 局 域 网 主要 由 无 线 网 卡 和 接 入 点 AP 等 网 络 设备 构成 。 其 中 无 线 网 卡 主 
要 用 来 收发 无 线 局 域 网 的 数据 报 文 .而 AP 则 是 主要 为 了 实现 有 线 局 域 网 和 无 线 局 域 网 之 
间 的 互联 和 通信 , 它 有 两 个 功能 : 桥接 功能 和 移动 管理 。 桥 接 功 能 是 指 在 有 线 /无 线 局 域 网 
中 数据 包 的 存储 、 转 发 和 过 滤 等 ; 移动 管理 功能 主要 包括 对 移动 端的 认证 、 登 录 和 散步 的 管 
理 等 。 

802. 11 无 线 局 域 网 按照 其 功能 可 以 划分 为 三 个 部 分 : 基于 无 线 媒体 的 通信 网 络 .提供 
综合 业务 的 用 户 终端 以 及 支持 网 络 运 行 的 管理 单元 。 通 信和 网 络 包 括 基本 服务 区 (Base 
Server Set, BSS) ,扩展 服务 区 (Extend Service Set. ESS) 以 及 无 线 接 入 点 (AP) 等 。BSS 是 
指 由 无 线 收 发 机 及 地 理 环境 所 确定 的 通信 和 覆盖 区 域 .通常 称 之 为 小 区 (Cell)。 无 线 接 入 点 
为 分 散 的 BSS 提供 中 远 距 离 的 点 对 点 连接 ,从 而 构成 扩展 服务 区 。 用 户 终端 可 以 是 台式 计 
算 机 ,便携 式 计算 机 等 设备 。 网 络 管理 单元 由 网 络 的 整体 配置 和 各 主要 模块 (设备 软件) 配 
置 组 成 , 它 包 括 协 议 转换 、 网 络 寻 址 .路 由 选择 .速率 匹配 .差错 控制 、 密 钥 管理 等 。 


7.1.3. 无 线 局 域 网 的 拓扑 结构 


802. 11 无 线 局 域 网 支持 2 种 网 络 拓扑 结构 : 基于 AP 的 网 络 结构 和 基于 P2P 的 网 络 
结构 。 

1. 基于 AP 的 网 络 结构 

基于 AP 的 网 络 结构 也 称 有 中 心 网 络 结构 。 它 由 无 线 AP、 无 线 工 作 站 STA (Station) 
以 及 DSS 构成 ,覆盖 的 区 域 分 BSS 和 ESS。 无 线 访问 点 也 称 无 线 AP RE hub, HFE 
无 线 网 络 和 有 线 网 络 之 间接 收 、 缓 存 和 转发 数据 。 所 有 的 移动 终端 之 间 ,移动 终端 与 有 线 网 
络 中 的 主机 之 间 的 通信 都 通过 AP。 该 结构 是 有 线 网 络 向 无 线 网 络 的 扩展 ,可 以 通过 放置 
多 个 AP 来 扩展 无 线 覆 盖 范 围 , 并 允许 移动 终端 在 不 同 AP 之 间 漫 游 。 无 线 AP 通常 能 够 覆 
盖 几 十 至 几 百 用 户 ,覆盖 半径 达 上 百 米 ,如 图 7-3 所 示 。 
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有 线 网 络 
图 7-3 基于 AP 的 网 络 结构 


BSS 由 一 个 无 线 访问 点 以 及 与 其 关联 的 无 线 工 作 站 构成 ,在 任何 时 候 , 任 何 无 线 工作 站 
都 与 该 无 线 访问 点 关联 。 换 句 话说 ,一 个 无 线 访问 点 所 覆盖 的 微 蜂窝 区 域 就 是 基本 服务 区 。 
接 入 点 类 似 于 蜂窝 通信 网 中 的 基站 ,可 以 看 做 是 将 IEEE 802. 11 网 连 到 有 线 骨 干 网 的 网 
桥 。 接 入 点 通过 提供 多 个 基本 业务 群 互 连 的 连接 点 来 扩展 通信 范围 ,形成 扩展 业务 群 ,如 
图 7-4 所 示 。 


图 7-4 ESS 网 络 结构 


扩展 业务 群 (Extend Service Set,ESS) 包 括 多 个 基本 业务 群 .通过 DS 连 到 一 起 。DS 可 
以 是 IEEE 802. 3 以 太 网 IEEE 802. 4 令 牌 总 线 或 其 他 IEEE 802. 11 无 线 媒 体 。 扩 展业 务 
群 也 可 通过 入 口 部 件 Portal 为 无 线 用 户 提 供 至 有 线 网 (如 Internet) 的 网 关 接 入 。Portal 是 规 
定 IEEE 802. 11 网 与 非 IEEE 802. 11 网 在 DS 上 的 连接 点 的 逻辑 实体 。 如 果 网 络 IEEE 802. X. 
Portal 功能 类 似 于 网 桥 。 要 求 一 个 无 线 站 点 充当 中 心 站 ,所 有 站 点 对 网 络 的 访问 均 由 其 
控制 。 

由 于 每 个 站 点 只 需 在 中 心 站 覆盖 范围 之 内 就 可 与 其 他 站 点 通信 , 故 网 络 中心 站 布局 受 
环境 限制 亦 小 。 此 外 ,中 心 站 为 接 入 有 线 主干 网 提供 了 一 个 逻辑 接 入 点 。 有 中 心 网 络 拓扑 
结构 的 弱点 是 抗 毁 性 差 ,中 心 点 的 故障 容易 导致 整个 网 络 瘫痪 ,并 且 中 心 站 点 的 引入 增加 了 
网 络 成 本 。 在 实际 应 用 中 ,无 线 网 一 般 与 有 线 主干 网 络 结合 起 来 使 用 。 这 时 ,中 心 站 点 充当 
无 线 网 与 有 线 主干 网 的 转 接 器 。 

2. 无 中 心 网 络 结构 

无 中 心 网 络 也 称 对 等 网 络 (Peer to Peer) 无 AP 网 络 或 Ad hoc 网 络 。 这 种 模式 下 网 
络 不 需要 AP 就 可 以 实现 ,移动 站 点 通过 无 线 接口 点 对 点 的 直接 通信 ,无 中 心 拓扑 的 网 络 要 
求 网 中 任意 两 个 站 点 均 可 直接 通信 ,该 网 络 无 法 接 入 有 线 网 络 中 ,只 能 独立 使 用 。 
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采用 这 种 拓扑 结构 的 网 络 一 般 是 用 公用 广播 信道 ,各 站 点 都 可 竞争 公用 信道 ,而 信道 接 
入 控制 (MAC) 协 议 大 多 采用 CSMA( 载 波 监测 多 址 接 和 人) 类 型 的 多 址 接 和 人 协议 。 这 是 最 简 
单 的 无 线 局 域 网 结构 ,如 图 7-5 所 示 。 

一 个 对 等 网 络 由 一 组 有 无 线 接口 的 计算 机 

组 成 。 这 些 计算 机 要 有 相同 的 工作 组 名 、ESSID 
和 和 密码。 对 等 网 络 组 网 灵活 ,任何 时 间 只 要 两 个 无 线 链 路 
或 更 多 的 无 线 接口 互相 都 在 彼此 的 范围 之 内 , 它 AN xR 
们 就 可 以 建立 一 个 独立 的 网 络 。 这 些 根 据 要 求 
建立 起 来 的 典型 网 络 在 管理 和 预先 调 协 方面 没 A a A 
有 任何 要 求 。 这 种 结构 的 优点 是 网 络 抗 毁 性 好 、 SUD EREE 
建 网 容易 、 且 费用 较 低 。 但 当 网 中 用 户 数 ( 站 点 — a 
数 ) 过 多 时 ,信道 竞争 成 为 限制 网 络 性 能 的 要 害 。 
并 且 为 了 满足 任意 两 个 站 点 可 直接 通信 ,网 络 中 站 点 布局 受 环境 限制 较 大 。Ad hoc 网 由 某 
基本 业务 群 (BSS) 内 的 一 组 站 点 组 成 ,又 称 为 IBSS, 基 本 业务 群 是 IEEE 802. 11 结构 的 基 
本 功能 块 , 它 覆盖 的 地 理 区 域 类 似 于 蜂窝 通信 和 网 中 的 蜂窝 。 在 基本 业务 群 内 ,任何 一 个 站 点 
可 与 其 他 任何 一 个 站 点 直接 建立 通信 过 程 。 


7.1.4 无 线 局 域 网 的 应 用 及 发 展 趋势 


IEEE 802. 11 最 初 只 是 作为 一 种 无 线 接 人 协议 ,而 问世 后 可 谓 是 异军突起 ,目前 , Wi-Fi 
技术 已 经 被 认为 是 无 线 宽带 发 展 的 新 方向 。 在 美国 , 像 Nextel Cingular 这 样 的 移动 运营 商 
正在 商业 楼 宇 中 部 署 Wi-Fi 网 络 , Bellsouth, Verizon 等 固定 运营 商 也 不 甘 落后 。Verizon 
已 经 在 纽约 启动 了 150 个 热点 地 区 的 Wi-Fi 网 络 , 并 在 纽约 部 署 1000 多 个 Wi-Fi 网 络 。 
2005 年 底 , 由 Intel, IBM 和 AT&T 合作 组 建 的 Commeta 网 络 公司 ,更 是 定 下 了 在 全 美 50 
个 大 城市 建设 2 万 个 热点 Wi-Fi 网 络 的 宏伟 计划 。 利 用 Wi-Fi 802. 11g 将 传输 速率 提升 到 
54Mby/s ,美国 Vivato 公司 推出 的 一 款 新 型 交换 机 能 把 目前 Wi-Fi 无 线 网 络 100m 的 通信 半 
径 扩大 到 6. 5km, 同 时 用 户 接 纳 数 量 大 幅度 增加 。 诺 基 亚 和 摩托 罗拉 等 公司 也 加 入 到 
WLAN 的 研发 与 推广 之 中 。Wi-Fi 网 络 在 家 庭 网 络 中 越 来 越 普 及 了 ,并 首次 超过 了 以 太 
网 。 据 市 场 调 研 公司 Parks Associates 进行 的 调查 显示 ,在 部 署 有 网 络 的 家 庭 中 ,52% 的 家 
庭 使 用 了 无 线 网 络 技术 ,而 使 用 以 太 网 和 电力 线 网 络 技术 的 比例 分 别 为 50% 和 约 5%( 三 者 
相 加 超过 100%% 的 原因 是 一 些 家 庭 采用 了 一 种 以 上 的 网 络 技术 ) 。 

在 欧洲 ,引领 Wi-Fi 的 运营 商 是 英国 电信 和 瑞士 电信 。 这 些 没 有 受 3G 牌照 拖累 的 企 
业 , 大 展 拳脚 ,期 望 通过 投资 Wi-Fi, 花 少 得 多 的 资金 在 移动 数据 市 场 挤占 一 定 的 份额 。 德 
国 的 T-mobile 公司 也 对 Wi-Fi 情 有 独 钟 ,该 公司 已 与 1400 多 家 星巴克 咖啡 店 联合 建设 了 
Wi-Fi 网 络 ,并 计划 在 全 球 2000 多 个 社区 提供 Wi-Fi 接 入 服务 。 

国内 的 电信 运营 商 正在 以 FT TX + WLAN, ADSL + WLAN 和 GPRS + WLAN, 
CDMA 1X+ WLAN 等 形式 进军 Wi-Fi 领域 。 这 股 风潮 势必 将 牵动 无 线 局 域 网 产业 链 中 的 
各 个 环节 。 作 为 国内 最 早 涉足 Wi-Fi 领域 的 运营 商 , 中 国 网 通 已 经 在 无 线 局 域 网 布点 1000 
多 个 ,大 多 数 都 集中 在 商务 客人 经 常 出 入 的 热点 地 区 ,如 机 场 、 商 务 酒 店 、 会 展 中 心 等 ,其 "无 
BR FEE” (Mobile Office) 的 无 线 局 域 网 接 入 服务 已 经 在 北京 、 上 海 、 广 州 、 深 圳 等 城市 展开 。 
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随 着 Wi-Fi 热潮 在 全 球 的 兴起 ,国内 其 他 的 运营 商 也 迅速 跟 进 ,加 入 这 一 市 场 的 争夺 。 与 网 
通 紧 盯 商务 用 户 不 同 , 中 国电 信和 充分 利用 其 有 线 资源 ,将 WLAN 与 ADSL 捆绑 ,迅速 夺取 
了 国内 最 大 的 市 场 份额 。 

中 国电 信 名 为 “天 翼 通 ”的 Wi-Fi 无 线 宽带 接 人 业务 已 经 在 上 海 和 广东 等 地 铺 开 ,目标 
直 指 普通 消费 者 。 而 开始 还 在 犹 瑰 的 中 国 移动 和 中 国联 通 也 迅速 跟 进 。2005 年 世界 电信 
日 宣布 进军 Wi-Fi 市 场 的 中 国 移动 ,第 一 期 动用 18 亿 元 在 全 国 32 个 城市 推广 WLAN 业 
% ,与 GPRS HITNA. 2006 4E 5 H 17 日, 中国 移动 宣布 已 在 全 国 近 700 个 机 场 、 酒 店 等 
热点 地 区 实现 了 WLAN 覆盖 。 另 外 ,联通 也 正在 考虑 把 CDMA 1X 与 WLAN 捆绑 。 

当 人 们 广泛 期 待 的 3G 时 代 并 未 如 期 而 至 ,无 线 局 域 网 的 高 速 发 展 更 是 成 为 电信 业 发 展 
的 一 大 亮点 。 全 球 无 线 局 域 网 销售 收入 在 2004 年 为 100 亿美 元 ,预测 到 2008 年 将 增长 到 
440 亿美 元 ,年 增长 率 为 44%。 由 此 可 见 ,基于 IEEE 802. 11 技术 的 WLAN 已 经 成 为 目前 
宽带 无 线 网 络 接 入 技术 的 主流 ,尤其 是 随 着 802. 11 系列 规范 的 相继 出 台 ,未 来 的 802. 11 必 
将 会 重 现 802. 3 的 辉煌 历史 ,未 来 的 无 线 网 络 终端 接 和 人 技术 将 会 进入 802. 11 系列 技术 
时 代 。 

由 于 下 一 代 无 线 网 络 将 是 由 三 个 部 分 组 成 , 即 无 线 接 人 网 .核心 网 和 骨干 网 三 部 分 组 成 
的 。 各 种 移动 网 和 无 线 网 都 采用 IP 技术 成 为 互联 网 的 无 线 接 入 网 络 ,移动 或 无 线 终端 就 可 
以 通过 无 线 方式 接 入 互联 网 ,享受 互联 网 信息 服务 ,并 在 互联 网 平台 上 进行 通信 。 根 据 
2006 年 中 国 下 一 代 互 联网 示范 工程 产业 化 及 应 用 试验 专项 规划 ,重点 进行 WWAN 和 
WLAN 的 互通 融合 技术 和 业务 示范 ,研究 未 来 无 线 局 域 网 中 各 种 通信 系统 的 互通 、 融 合 技 
术 及 其 网 络 构架 ,建设 基于 移动 IPv6 的 WWAN 和 WLAN 融合 网 络 , 开 展业 务 试验 和 应 用 
示范 。 

3G 系统 旨 在 提供 一 个 全 覆盖 ,高 质量 保证 的 通信 网 络 ,可 以 提供 语音 和 数据 业务 ,数据 
传输 速率 达 2Mb/s。 从 目前 的 移动 应 用 业务 角度 来 看 ,传输 速率 最 高 为 2Mb/s 显然 无 法 满 
足 用 户 对 高 速 传输 速率 的 需求 。 另 外 ,由 于 3G 系统 所 使 用 的 频率 为 2GHz 频段 ,这 是 非常 珍 
贵 和 短缺 的 频率 资源 ,运营 商 为 了 获得 3G 牌照 需要 花费 大 量 资 金 ; 另 一 方面 ,3G 网 络 的 单 基 
站 覆盖 范围 1. 5 一 8km, 要 达到 全 网 覆盖 ,需要 设置 大 量 的 网 络 设备 ,造成 运营 成 本 非常 高 。 

WiMAXC 移 动 通信 系统 主要 定位 于 分 组 数据 的 业务 传输 ,其 峰值 数据 的 速率 可 达到 
75Mb/s, 比 3G 系统 高 得 多 ,但 其 主要 为 固定 、 便 携 或 低速 移动 的 用 户 提供 接 入 ,在 网 络 建 
设 初期 和 中 期 阶段 并 不 支持 高 速 移 动 下 的 无 颖 漫游 。 而 3G 移动 通信 系统 具有 支持 快速 温 
游 以 及 提供 全 网 覆盖 的 通话 业务 功能 优点 。 

WLAN 作为 WiMAX 网 络 的 补充 技术 ,满足 局 部 热点 地 区 提供 较 高 数据 传输 ,为 解决 
该 问题 提供 了 一 种 新 的 途径 。 最 新 的 802. 11s 草案 ,引入 了 Mesh 机 制 ,Mesh 网 络 具 有 自 
愈 和 自 配 置 的 优越 性 。 研 究 成 果 表 明 ,未 来 的 WLAN 组 网 将 是 采用 Mesh 网 络 技术 的 混合 
网 络 体制 。 


7.2 安全 风险 与 安全 需求 


现在 ,无 线 网 络 已 经 开始 进入 人 们 的 日 常生 活 之 中 。 目 前 存在 着 三 种 代表 性 的 无 线 网 
络 技术 ,这 三 种 技术 都 具有 各 自 的 优势 和 特点 。 在 广域网 融合 方面 ,蜂窝 无 线 技术 风头 正 
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劲 ; 在 局 域 网 方面 ,无 线 局 域 网 (IEEE 802. 11 标准 ) 已 经 投入 应 用 ; 个 人 区 域 网 络 则 主要 采 
用 蓝牙 技术 。 一 旦 用 户 做 出 自己 的 网 络 将 支持 哪个 无 线 平台 的 决定 , 剩 下 的 最 主要 问题 就 
是 如 何 保证 系统 的 安全 了 。 


7.2.1 无 线 局 域 网 的 安全 风险 分 析 


无 论 是 有 线 网 络 还 是 无 线 网 络 都 受到 安全 问题 的 困扰 ,只 要 内 部 网 的 合法 用 户 收发 电 
子 邮件 访问 内 部 网 或 互联 网 系统 ,就 已 经 将 内 部 网 暴露 于 一 个 范围 广泛 的 潜在 威胁 之 中 。 
无 线 设备 同样 也 可 以 将 内 部 网 暴露 于 一 个 潜在 的 安全 威胁 之 中 ,这 些 设备 很 容易 由 于 使 用 
人 员 的 朴 忽 而 发 生 被 盗 , 使 得 秘密 信息 落 入 竞争 者 或 敌对 者 的 手中 59] 。 

近年 来 ,各 企业 或 机 构 已 经 越 来 越 重 视 利 用 防火 墙 保护 其 内 部 网 以 防 受 到 来 自 外 部 网 
的 攻击 。 但 是 ,无 线 网 络 打 开 了 一 个 允许 攻击 者 超越 企业 或 机 构 的 物理 安全 界线 而 进入 内 
部 网 的 后 门 。 攻 击 者 可 以 在 该 企业 或 机 构 的 停车 场 里 访问 企业 或 机 构 内 部 网 的 主机 ,这 就 
是 所 谓 的 “停车 场 ” 攻 击 。 值 得 注意 的 是 ,在 一 些 情况 下 ,防火 墙 使 得 内 部 网 在 攻击 者 面前 显 
得 更 加 脆弱 ,这 是 由 于 不 恰当 的 配置 会 使 系统 更 易 受 到 攻击 和 潜在 的 威胁 。 为 了 便于 用 户 
使 用 ,网 络 系 统 总 是 尽量 做 到 开放 和 易于 互联 ,但 这 同时 又 给 网 络 系统 带 来 了 安全 隐患 。 无 
线 网 络 除 了 受到 与 有 线 网 络 相同 的 安全 威胁 以 外 还 有 其 特殊 性 。 

1. 无 线 局 域 网 所 面临 的 安全 风险 

1) 来 自 网 络 外 部 或 内 部 的 窃听 

无 线 传输 的 介质 是 共享 的 ,也 正 是 由 于 这 个 原因 ,相对 于 有 线 网 络 来 说 ,通过 无 线 局 域 
网 发 送 和 接收 数据 时 就 更 容易 被 窃听 。 目 前 的 无 线 局 域 网 使 用 2. 4GHz 范围 的 无 线 电 波 进 
行 网 络 通信 。 任 何人 都 可 以 用 一 台 带 无 线 网 卡 的 PC 或 者 廉价 的 无 线 扫描 器 进行 窃听 。 而 
且 无 线 局 域 网 易于 被 发 现 ,但 严格 来 说 这 并 不 是 安全 隐患 。 因 为 所 有 的 无 线 网 络 都 要 通告 
它 的 存在 以 便 用 户 能 够 与 之 建立 连接 并 使 用 它 提供 的 网 络 服务 。 

IEEE 802. 11 标准 需要 网 络 周期 性 地 利用 特殊 的 帧 通告 它 的 存在 ,该 帧 称 为 信 标 帧 。 
然而 ,加 入 网 络 所 需 的 信息 同样 也 是 攻击 网 络 所 需 的 信息 。 标 信 帧 没有 经 过 任何 加 密 处 理 ， 
这 意味 着 一 个 IEEE 802. 11 网 络 及 其 参数 可 以 被 任何 拥有 IEEE 802. 11 卡 的 人 利用 。 黑 
客 工 具 War driver 可 以 使 用 高 性 能 天 线 和 相应 的 软件 来 登录 信 标 帧 并 用 GPS 与 其 保持 连 
接 。 因 此 , 当 运 行 无 线 局 域 网 时 ,网 络 管理 员 所 要 面 对 的 最 大 问题 之 一 就 是 数据 安全 问题 ， 
也 就 是 防止 数据 被 窃听 。 这 种 穷 听 可 能 来 自 外 部 ,也 可 能 来 自 内 部 ,数据 加 密 是 防止 这 类 入 
侵 的 最 有 效 方法 。 

在 有 线 环境 里 ,对 物理 线路 接 入 的 限制 可 以 使 他 人 只 能 在 网 络 所 在 的 建筑 物 外 徘徊 ,而 
不 能 连接 到 内 部 网 络 里 。 但 是 在 无 线 局 域 网 环境 中 ,对 AP 来 说 , 它 无 法 知道 是 否 有 操纵 无 
线 设 备 的 人 在 网 络 所 在 的 建筑 物 里 。 目 前 还 无 法 解决 短程 移动 通信 进入 隔离 严密 的 办 公 空 
间 而 不 泄露 无 线 信 号 这 个 问题 。 减 轻 非 法 访问 的 风险 可 以 利用 强 有 力 的 访问 控制 和 加 密 技 
术 , 这 样 就 可 以 防止 无 线 局 域 网 成 为 网 络 中 易于 登录 的 点 。 配 置 AP 外 的 防火 墙 并 且 利用 
VPN 来 保护 敏感 的 通信 信息 也 是 解决 该 风险 的 一 种 方法 。 

IEEE 802.11 不 提供 防护 被 动 观 察 通 信 流 量 攻 击 的 方法 。 对 此 来 说 主要 风险 就 是 
IEEE 802. 11 不 提供 在 面 对 窃 听 时 保护 数据 安全 的 方法 。 对 于 无 线 网 络 分 析 者 来 说 , 帧 头 
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总 是 “清晰 可 见 的 ”。 很 多 对 WEP 协议 有 异议 的 人 认为 不 受 窃听 的 侵害 这 一 点 应 当 得 到 保 
证 。 尽 管 目前 符合 IEEE 802. 11b 标准 的 AP 和 网 卡 支 持 最 基本 的 安全 措施 ,但 大 多 数 企 业 
或 机 构 甚 至 还 没有 启用 它们 。 而 那些 采取 了 安全 措施 的 企业 或 机 构 会 在 安全 问题 上 产生 错 
觉 ,认为 WEP 这 一 脆弱 的 协议 以 及 密 钥 管理 系统 所 能 提供 的 保护 并 没有 多 大 价值 。 实 际 
上 。 由 于 无 线 局 域 网 被 设计 成 只 能 覆盖 有 限 的 区 域 ,所 以 现行 的 WEP 安全 级 别 也 许 是 足 
够 的 。 但 是 ,对 于 需要 更 高 级 别 保护 的 企业 或 机 构 来 说 就 远 远 不 够 了 。 

2) 来 自 黑客 的 攻击 

无 线 局 域 网 的 快速 发 展 使 得 安全 问题 成 为 急需 解决 的 问题 。 对 黑客 来 说 ,无 线 局 域 网 
规模 大 了 他 们 实施 攻击 的 机 会 也 就 多 了 。 而 且 随 着 技术 的 进步 ,目前 黑客 在 实施 攻击 时 不 
一 定 再 需要 有 非常 昂贵 的 硬件 和 高 超 的 技术 ,而 只 需要 一 台 计 算 机 和 一 个 免费 软件 就 可 以 
了 。 因 此 ,现在 黑客 攻击 事件 也 就 越 来 越 多 了 。 黑 客 凭借 War driver 技术 可 以 攻击 无 线 局 
域 网 ,他 们 通过 携带 笔记 本 电脑 和 EEE 802. 11 以 太 网 卡 能 够 轻易 地 找到 未 加 保护 的 无 线 
局 域 网 , 随 之 可 以 偷窃 数据 资料 和 施放 病毒 ,也 可 能 会 蓄意 破坏 网 页 或 者 从 网 络 内 部 发 动 匿 
名 攻击 。 这 种 新 的 黑客 行为 日 益 器 张 , 它 伴随 着 无 线 局 域 网 的 壮大 而 发 展 。 其 中 的 主要 原 
因 是 很 多 无 线 局 域 网 完全 暴露 在 黑客 面前 ,没有 任何 自卫 能 力 。 所 以 ,无 线 局 域 网 用 户 
人 数 的 不 断 增长 ,也 就 为 黑客 攻击 无 线 网 络 提供 了 更 多 的 机 会 。 为 了 安全 ,最 好 的 办 法 
就 是 把 无 线 局 域 网 * 锁 ”起 来 ,使 其 避免 遭受 攻击 。 但 是 , 现 有 的 技术 水 平 要 做 到 这 一 点 
还 不 太 现实 。 目 前 比较 现实 的 方法 只 能 是 : 建立 安全 的 程序 并 且 利 用 加 密 手 段 来 确保 一 
定 的 安全 。 无 线 局 域 网 用 户 可 以 通过 使 用 多 种 安全 手段 来 防止 黑客 袭击 ,比如 : 通过 生 
物 测定 学 或 是 一 些 硬 件 。 一 般 来 说 ,硬件 多 指 一 种 小 卡片 , 它 可 以 显示 口令 ,这 个 口令 随 
时 间 变 化 。 如 果 不 是 本 人 输入 则 口令 很 难 正确 ,当然 要 进入 他 人 网 络 也 就 不 可 能 了 。 生 
物 测定 学 的 方法 是 通过 对 用 户 指 纹 和 眼睛 的 鉴定 来 决定 是 否 允 许 用 户 登录 。 可 以 使 用 
以 上 方法 来 建立 一 个 安全 网 络 ,把 黑客 拒 之 门 外 。 还 可 以 在 需要 时 锁定 电脑 ,这 样 就 无 

IEEE 802. 11 标准 可 以 使 手提 计算 机 和 台式 计算 机 在 数 百 英尺 范围 内 分 享 内 部 网 络 的 
数据 ,这 种 功能 是 由 苹果 公司 最 先 推出 的 。 此 后 。 众 多 计算 机 生产 商都 在 产品 上 增加 了 无 
线 功 能 。 目 前 ,无 线 局 域 网 在 各 公司 科研 部 门 、 机 场 ,以 及 其 他 公共 场所 的 应 用 越 来 越 广 
泛 。 但 是 ,如 果 IEEE 802. 11 标准 的 安全 漏洞 不 能 及 时 解决 ,无 线 局 域 网 将 成 为 黑客 们 下 
一 个 最 主要 的 攻击 目标 。 

3) 未 经 授权 的 用 户 获得 存 取 权 

随 着 Internet 的 不 断 发 展 ,内 部 网 的 用 户 可 以 方便 地 访问 外 部 网 ,但 同时 外 部 网 的 用 户 
也 可 以 进入 到 内 部 网 ,这 就 存在 着 潜在 的 安全 威胁 。 这 种 威胁 不 仅仅 存在 于 Internet, HE 
在 内 部 网 允许 外 部 用 户 进入 的 情况 下 ,就 可 能 产生 不 安全 因素 。 

比如 ,远程 访问 服务 器 允许 在 外 出 差 的 销售 和 市 场 人 员 通 过 拨号 上 网 来 收取 电子 邮件 ， 
远程 办 公 室 通 过 拨号 连接 在 线 站 点 和 Extranets, 它 能 够 将 供 货 商 或 客户 连接 到 内 部 网 络 。 
所 有 这 些 都 为 黑客 .病毒 等 的 人 侵 提 供 了 可 乘 之 机 。 事 实 上 ,内 部 网 络 的 最 大 威胁 是 来 自 于 
网 络 内 部 。 如 果 没 有 正确 合适 的 安全 措施 , 则 网 络 上 任何 一 个 已 经 注册 的 用 户 都 可 以 存 取 
数据 ,现在 或 以 前 供职 的 带 有 不 满 情 绪 的 职员 已 经 知道 读 取 甚 至 修改 有 价值 的 公司 数据 文 
件 的 方法 ,这 对 数据 的 安全 存在 着 一 定 的 隐患 。 因 而 应 当 有 适当 的 安全 保密 产品 ,对 用 户 的 
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安全 级 别 正确 设置 并 且 随 时 审查 安全 程序 。 

如 果 已 经 采取 了 VPN 的 方法 来 保护 无 线 客户 端 , 则 系统 就 应 当 具 有 很 强 的 认证 功能 。 
管理 员 可 以 运用 IEEE 802. 1x 来 防止 未 经 认证 的 用 户 登录 网 络 ,IEEE 802. 1x 也 允许 管理 
员 选 择 基于 传输 层 的 认证 方法 ,这 样 可 以 确保 用 户 只 能 从 经 过 认证 的 AP 进入 系统 。 然 而 ， 
并 不 是 所 有 的 网 络 系统 都 需要 强 有 力 的 用 户 认 证 系统 。 对 于 连接 提供 商 来 说 主要 关心 的 
“窃取 服务 常常 发 生 在 诸如 宾馆 、 机 场 等 热点 场合 。 终 究 是 要 由 商业 模式 决定 网 络 访问 ,而 
防止 未 经 认证 的 访问 是 一 种 商业 需求 。 

4) 无 线 病毒 

目前 的 Internet 病毒 攻击 波 也 可 能 会 发 生 在 无 线装 置 上 ,这 极 有 可 能 是 病毒 威胁 在 将 
来 表现 出 来 的 新 形式 。 无 线 病毒 能 够 清除 数据 、 损 坏 移动 电话 ,PDA 及 与 无 线 局 域 网 连接 
的 手提 电脑 等 装置 。 据 报道 ,世界 上 出 现 的 第 一 例 无 线 病毒 主要 是 攻击 Palm 计算 公司 的 
Palm OS 产品 ,这 种 病毒 是 在 2000 年 9 月 份 首次 亮相 的 。 随 后 ,借助 短信 息 服务 进行 传播 
的 病毒 也 开始 出 现 , 而 且 会 攻击 诺基亚 公司 生产 的 移动 电话 及 一 些 SIM 卡 。 无 线 病毒 现在 
还 不 是 十 分 盛行 ,主要 是 因为 无 线装 置 的 种 类 繁多 。 在 将 来 , 像 Java 这 样 跨 平台 的 系统 日 
益 增 多 时 ,无 线 病毒 的 数量 及 传染 速度 相应 地 也 会 日 渐 增 加 。 早 期 的 病毒 借助 电子 邮件 达 
到 入 侵 别 人 的 目的 。 而 通过 短信 接收 到 的 病毒 , 它 会 叫 用 户 打开 ,而 一 旦 打开 ,用 户 的 手机 
即 出 现 故 障 ,或 者 病毒 信息 被 拷贝 发 送 给 电话 德 中 的 所 有 移动 电话 号 码 。 要 清除 那些 运行 
像 Palm OS 或 Windows CE 等 通用 操作 系统 装置 上 的 病毒 并 不 是 很 困难 ,但 对 移动 电话 来 
说 则 较为 费力 ,因为 它们 使 用 的 都 是 一 些 厂家 所 独 有 的 软件 系统 。 但 同时 这 一 问题 能 使 它 
本 身 对 于 攻击 这 些 无 线装 置 的 病毒 起 到 特殊 的 效果 ,因为 这 些 装置 是 人 们 无 法 直接 与 病毒 
进行 接触 的 应 用 程序 。 

2. 针对 无 线 局 域 网 的 攻击 手段 

针对 无 线 局 域 网 的 安全 缺陷 ,常见 的 有 以 下 几 个 攻击 类 型 。 

1) 被 动 攻击 解密 业务 流 

在 初始 化 变量 发 生 碰撞 时 ,一 个 被 动 的 窃听 者 可 以 拦截 窃听 所 有 的 无 线 业 务 流 。 只 要 
将 两 个 具有 相同 初始 化 变量 的 包 进 行 异 或 ,攻击 者 就 可 以 得 到 两 条 消息 明文 的 异 或 值 ,而 这 
个 结果 可 以 用 来 推断 这 两 条 消息 的 具体 内 容 。IP 业务 流通 常 是 可 以 预测 的 ,并 且 其 中 包含 
了 许多 宛 余 码 ,而 这 些 元 余 码 就 可 以 用 来 缩小 可 能 的 消息 内 容 的 范围 ,对 内 容 的 更 进一步 的 
推测 则 可 以 进一步 缩小 内 容 范 围 ,在 某 些 情况 下 甚至 可 能 确定 正确 的 消息 内 容 。 

2) 主动 攻击 一 一 注入 业务 流 

假如 一 个 攻击 者 知道 一 条 加 密 消息 确切 的 明文 , 那 他 就 可 以 利用 这 一 点 来 构建 正确 的 
加 密 包 。 其 过 程 包括 : 构建 一 条 新 的 消息 .计算 CRC-32、 更 改 初始 加 密 消息 的 比特 数据 从 
而 变 成 新 消息 的 明文 .然后 将 这 个 包 发 送 到 接 入 点 或 移动 终端 ,这 个 包 会 被 当 作 一 个 正确 的 
数据 包 而 被 接收 。 这 样 就 将 非法 的 业务 流 注入 网 络 中 ,从 而 增加 了 网 络 的 负荷 。 如 果 非 法 
业务 流 的 数量 很 大 ,就 会 使 网 络 负荷 过 重 ,出 现 严 重 的 拥塞 问题 甚至 导致 整个 网 络 完全 
瘫痪 。 

3) 面向 收发 两 端的 主动 攻击 

在 这 种 情况 下 ,攻击 者 可 以 不 猜测 消息 的 具体 内 容 而 是 只 猜测 包头 ,尤其 是 目的 IP 地 
址 , 它 是 最 有 必要 的 ,这 个 信息 通常 很 容易 获得 。 有 了 这 些 信息 ,攻击 者 就 可 以 改变 目的 IP 
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地 址 ,用 未 经 授权 的 移动 终端 将 数据 包 发 到 他 所 控制 的 机 器 上 。 由 于 大 多 数 无 线 设备 都 与 
Internet 相连 ,因而 这 个 数据 包 就 会 成 功 的 被 接 和 人 点 解密 ,然后 通过 网 关 和 路 由 器 向 攻击 者 
的 机 器 转发 未 经 加 密 的 数据 包 , 这 样 就 泄露 了 明文 。 如 果 包 的 TCP 头 被 猜 出 来 的 话 ,那么 
甚至 有 可 能 将 包 的 目的 端口 号 改 为 80, 如 果 这 样 的 话 , 它 就 可 以 畅通 无 阻 的 越过 大 多 数 的 
防火 墙 。 

4) 基于 表 的 攻击 

由 于 初始 化 向 量 的 数值 空间 比较 小 ,这 样 攻击 者 就 可 以 建 一 个 解密 表 。 一 旦 知道 了 某 
个 数据 包 的 明文 , 它 就 能 够 计算 出 由 所 使 用 的 初始 化 变量 产生 的 RC4 密 钥 流 。 这 个 密 钥 流 
可 以 将 所 有 使 用 同一 个 初始 化 变量 的 数据 包 解 密 。 很 可 能 经 过 一 段 时 间 以 后 ,通过 使 用 上 
述 技术 ,攻击 者 能 够 建立 一 个 初始 化 变量 与 密 钥 流 的 对 照 表 。 这 个 表 只 需要 很 小 的 存储 空 
间 ( 大 约 15GB); 表 一 旦 建立 ,攻击 者 就 可 以 通过 无 线 链 路 把 所 有 的 数据 包 解 密 。 

5) 广播 监听 

如 果 接 入 点 与 hub 相连 而 不 是 与 交换 机 相连 ,那么 任意 通过 hub 的 网 络 业务 流 将 会 在 
整个 无 线 局 域 网 里 广播 。 由 于 以 太 网 hub 向 所 有 与 之 连接 的 装置 包括 无 线 接 人 点 广播 所 
有 数据 包 , 这 样 ,攻击 者 就 可 以 监听 到 网 络 中 的 敏感 数据 。 

6) DoS 攻击 

DoS 攻击 对 无 线 局 域 网 也 是 一 个 实际 存在 的 威胁 。 如 果 非 法 业务 流 覆 盖 了 所 有 的 频 
段 ,合法 业务 流 就 不 能 到 达 用 户 或 接 入 点 。 这 样 ,如 果 有 适当 的 设备 和 工具 的 话 , 攻 击 者 很 
容易 对 2. AGHz 的 频段 实施 泛 洪 (flooding) 攻 击 ,破坏 信号 特性 ,直至 导致 无 线 局 域 网 完全 
停止 工作 。 另 外 ,无 绳 电话 、 婴 儿 监视 器 和 其 他 工作 在 2. 4GHz 频段 上 的 设备 都 会 扰乱 使 用 
这 个 频率 的 无 线 局 域 网 。 这 些 拒绝 服务 可 能 来 自 工 作 区 域 之 外 ,也 可 能 来 自 安装 在 其 他 工 
作 区 域 的 会 使 所 有 信号 发 生 衰减 的 IEEE 802. 11 设备 。 总 之 ,不 管 是 故意 的 还 是 偶然 的 ， 
DoS 攻击 都 会 使 网 络 彻底 崩溃 。 

7) “SKYE” AP 

无 线 局 域 网 易于 访问 且 易 于 配置 ,这 两 个 特点 结合 在 一 起 使 得 网 络 管理 员 很 头疼 。 任 
何 用 户 都 可 以 到 计算 机 商店 购买 AP 并 且 不 需要 任何 认证 而 接 和 人 公共 网 络 ,很 多 AP 在 低 
级 管理 员 那 里 也 设 有 签字 权 ,一 个 部 门 也 可 以 随时 脱离 某 个 无 线 局 域 网 而 不 需要 得 到 系统 
确认 。 

“欺诈 ”AP 可 以 由 终端 用 户 来 配置 ,这 一 点 带 来 了 很 大 的 安全 风险 。 终 端 用 户 不 是 安 
全 专家 ,并 且 可 能 不 知道 无 线 局 域 网 带 来 的 安全 风险 。 大 部 分 现存 的 由 War driver 所 设 的 
配置 映射 不 能 使 安全 特征 加 入 到 产品 中 去 ,很 多 AP 已 经 将 最 小 的 变化 作为 默认 设置 。 在 
这 一 点 上 ,即使 是 大 公司 的 终端 用 户 也 很 难 令 人 相信 能 做 的 更 好 。 但 是 ,现在 对 于 这 一 问题 
并 没有 好 的 解决 方法 。 像 NetStumbler 这 样 的 工具 允许 网 络 管理 员 在 他 所 在 的 建筑 物 中 漫 
游 来 寻找 没有 认证 的 AP, 但 是 在 建筑 物 中 漫游 来 寻找 一 个 新 的 AP 花费 大 、 耗 时 多 。 跟 踪 
工具 也 可 以 在 一 个 用 户 与 其 他 企业 或 机 构 共存 的 同一 栋 建 筑 物 或 同一 层 建筑 物 中 获得 
其 他 的 AP, 其 他 用 户 的 AP 可 能 部 分 覆盖 该 用 户 所 在 建筑 物 层 的 空间 ,但 是 他 们 的 AP 
不 能 直接 危及 该 用 户 网 络 的 安全 并 且 不 能 引起 报 替 。 周 期 性 地 巡查 网 络 是 确定 未 经 认 
证 的 配置 的 唯一 方法 , 随 着 网 络 分 析 逐 渐 趋 向 手工 方式 .巡查 网 络 时 并 不 需要 携带 太 多 
的 工具 。 
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8) 强制 服务 和 执行 

无 线 局 域 网 的 传输 容量 是 有 限 的 。 建 立 在 IEEE 802. 11b 标准 上 的 无 线 局 域 网 具有 
11Mb/s 的 速率 ,而 建立 在 IEEE 802. 11a 标准 上 的 无 线 局 域 网 具有 54Mb/s 的 速率 。 这 一 
容量 由 所 有 由 同一 点 接 入 的 用 户 所 共享 。 由 于 传输 媒介 层 在 头 上 ,实际 有 效 的 速率 大 约 是 
正常 的 一 半 。 不 难 想 象 ,本 地 应 用 可 能 受到 这 样 容量 的 限制 或 者 攻击 者 可 以 在 有 限 的 资源 
下 发 动 拒 绝 服务 攻击 。 

对 于 监视 和 发 现 的 执行 问题 ,很 多 AP 将 通过 SNMP 来 报告 统计 数据 。 但 是 没有 必要 
详细 到 使 得 终端 用 户 抱怨 的 程度 。 无 线 网 络 分 析 能 够 报告 某 一 点 的 信号 质量 和 网 络 运行 情 
况 , 但 是 无 线 网 络 管理 员 使 用 的 工具 才刚 刚 开 始 出 现 。 最 初 的 无 线 分 析 工 具 与 有 线 分 析 工 
具 很 相似 , 像 AirMagnet 的 信息 处 理 分 析 仪 这 类 新 产品 看 来 极 有 可 能 成 为 无 线 网 络 工程 师 
的 必 备 工具 。 企 业 无 线 局 域 网 管理 系统 还 没有 出 现 , 在 实际 运用 中 有 时 能 通过 连接 主干 网 
络 的 无 线 局 域 网 靠 设置 通信 流量 来 扫描 到 用 户 的 地 址 。 这 一 点 即使 不 能 用 来 防止 拒绝 服务 
攻击 也 可 以 有 助 于 防止 大 量 用 户 垄 断 某 一 地 区 的 无 线 资源 。 

9) MAC 欺骗 和 时 间 段 支持 

安全 访问 一 个 无 线 局 域 网 的 方法 是 命令 AP 仅 传 送 来 源 于 已 知 地 址 列表 中 的 数据 包 。 
MAC 控制 地 址 能 够 被 欺骗 ,但 是 在 此 之 前 攻击 者 必须 得 知 一 个 用 户 的 以 太 网 卡 地 址 。 在 
现实 当中 ,很 多 无 线 网 卡 直接 将 MAC 地 址 标 在 上 面 。 即 使 卡 的 地 址 可 以 被 保护 ,但 是 有 效 
的 MAC 地 址 列表 还 是 不 得 不 被 编辑 并 保持 和 分 布 在 每 一 个 AP。 另 外 ,AP 的 每 一 个 标记 
在 允许 的 地 址 数量 上 都 有 一 些 限制 ,例如 Lucent 的 Orinoco 拥有 最 多 490 个 MAC 地 址 而 
Cisco 支持 最 多 大 约 2000 个 MAC 地 址 。 

IEEE 802. 11 标准 并 不 对 帧 进行 认证 。 每 一 帧 都 有 一 个 源 地 址 ,但 是 无 法 保证 每 一 帧 
都 确实 被 发 送出 去 了 。 比 如 在 传统 的 以 太 网 中 就 无 法 防止 伪造 帧 的 源 地 址 ,攻击 者 能 够 利 
用 欺骗 帧 来 重 定向 通信 流量 并 且 率 用 ARP 表 。 在 许多 简单 的 标准 下 ,攻击 者 能 够 观察 网 
络 中 的 某 个 MAC 地 址 并 且 利用 这 些 地 址 来 发 送 恶意 信息 。 为 了 防止 这 一 类 攻击 ,应当 在 
IEEE 802. 11 标准 中 开发 用 户 认 证 机 制 。 所 有 用 户 都 需要 认证 ,未 经 认证 的 用 户 不 能 访问 
网 络 。 尽 管 如 此 ,拒绝 服务 攻击 仍然 可 能 发 生 ,因为 无 法 阻止 攻击 者 访问 无 线 传输 层 。 攻 击 
者 能 够 使 用 欺骗 帧 及 时 间 段 劫持 来 发 动 主动 攻击 ,还 能 够 利用 未 经 认证 的 AP。AP 靠 广播 
其 信 标 帧 来 被 鉴别 ,任何 声称 是 一 个 AP 且 广 播 正 确 服务 装置 的 识别 都 是 网 络 认证 的 一 部 
分 。 然 而 ,攻击 者 可 以 容易 地 假装 成 一 个 AP。 这 是 由 于 IEEE 802. 11 没有 任何 功能 需要 
一 个 AP 证 明 它 确实 是 一 个 AP。 在 该 点 ,攻击 者 能 够 利用 Man-In-The-Middle(MITM) 攻 
击 方法 潜入 并 偷窃 信用 卡 ,然后 用 穷 得 的 合法 用 户 的 信用 卡 来 获得 网 络 访问 权 。 


7.2.2 无 线 局 域 网 安全 需求 分 析 


网 络 的 安全 性 是 无 线 局 域 网 的 供 货 商 必须 面 对 的 最 常见 问题 之 一 ,作为 网 络 管理 员 来 
说 关心 安全 问题 是 很 明智 的 。 但 是 ,心怀 不 满 的 雇员 、 黑 客 ,病毒 .工业 间谍 和 其 他 形式 的 破 
坏 在 网 络 中 并 不 少见 。 为 了 在 一 个 企业 或 机 构 或 某 种 环境 中 使 用 无 线 局 域 网 ,应 当 尽 量 减 
少 目前 有 关 无 线 局 域 网 产品 及 标准 中 存在 的 内 部 风险 。 

保证 用 户 安全 需求 的 切入 点 是 从 无 线 局 域 网 的 连接 上 开始 ,考虑 三 个 基本 的 安全 服务 : 
审计 、 认 证 和 保密 。 
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1. 审计 

显然 ,公司 或 机 构 网 络 的 最 大 的 威胁 来 自 公司 或 机 构 本 身 。 没 有 正确 .适当 的 安全 措 
施 , 网 络 中 任何 一 个 已 注册 的 用 户 都 可 以 存 取 数据 。 无 论 网 络 管理 员 在 有 线 网 上 是 否 有 无 
线 网 段 ,都 需要 有 适当 的 安全 保密 产品 对 用 户 安 全 级 别 正确 设置 和 随时 审查 安全 程序 。 

网 络 安全 在 无 线 局 域 网 上 尤其 显得 重要 ,这 是 因为 它 很 容易 在 网 络 内 部 增加 新 的 AP。 
保护 无 线 局 域 网 的 第 一 步 就 是 完成 网 络 审计 ,实现 对 内 部 网 络 的 所 有 AP 都 做 审计 ,确定 欺 
骗 AP, 建 立 规章 制度 来 约束 它们 ,或 者 完全 从 网 络 上 和 剥离 它们 。 从 短期 来 看 ,企业 应 该 使 
用 一 些 能 检测 出 无 线 局 域 网 网 络 流量 以 及 无 线 局 域 网 中 的 AP 的 网 络 监控 产品 或 工具 , 例 
如 像 Sniffer Technologies 和 WildPackets 等 厂家 的 产品 。 不 过 ,采取 的 这 些 措 施 能 达到 的 
安全 程度 毕竟 还 是 有 限 的 ,因为 它 要 求 网 络 管理 员 要 根据 无 线 局 域 网 的 信号 来 检测 网 络 流 
量 , 知 道 网 络 内 部 的 数据 流量 情况 。 企 业 或 机 构 用 户 应 该 形成 一 个 管理 制度 ,保证 网 络 审计 
成 为 一 个 规范 化 的 行为 (至 少 每 三 个 月 检测 一 次 ) ,来 限制 具有 欺骗 访问 行为 的 站 点 随意 进 
入 无 线 局 域 网 。 

2. 认证 

设计 一 个 完善 的 无 线 局 域 网 系统 ,加 密 和 认证 是 需要 考虑 的 两 个 必 不 可 少 的 安全 因素 。 
无 线 局 域 网 中 应 用 加 密 和 认证 技术 的 最 根本 目的 就 是 使 无 线 业务 能 达到 有 线 业 务 同样 的 安 
全 等 级 。 开 放 式 访问 可 能 产生 两 个 问题 ,除了 未 经 认证 使 用 的 带宽 负荷 以 外 ,也 可 能 引起 法 
律 问题 。 未 经 认证 的 使 用 者 必须 服从 服务 提供 商 的 服务 条 款 , 有 可 能 由 于 一 个 垃圾 邮件 而 
引起 Internet 服务 提供 商 废除 连接 。 无 线 局 域 网 在 应 用 中 存在 着 较为 严重 的 安全 隐患 ,大 
多 数 无 线 局 域 网 的 默认 配置 允许 任意 的 具有 无 线 网 卡 的 用 户 在 没有 任何 认证 措施 的 情况 下 
进行 访问 ,这 使 得 访问 网 络 很 容易 。 

无 线 局 域 网 服务 提供 商 应 当 十 分 关注 他 们 的 网 络 配置 ,如 果 某 个 人 不 经 认证 而 能 够 轻 
易 地 访问 无 线 局 域 网 , 则 他 就 能 够 盗用 服务 。 无 论 是 否 经 过 认证 ,一 旦 一 个 用 户 获 准 访问 无 
线 局 域 网 ,都 应 当 使 他 只 能 得 到 经 过 认证 的 服务 或 其 行为 得 到 安全 监控 。 如 果 这 些 措施 存 
在 缺陷 或 根本 没有 这 些 措 施 , 则 一 个 未 经 认证 的 用 户 就 可 能 轻易 地 通过 无 线 局 域 网 进入 一 
个 个 人 网 络 ,并 且 利 用 网 络 系统 的 内 部 缺陷 而 完全 控制 网 络 。 因 为 基于 WEP 协议 的 无 线 
局 域 网 安全 协议 并 不 是 十 分 可 信 的 ,用 户 必 须 考虑 到 提供 商 可 能 会 留 有 后 门 。 企 业 用 户 也 
可 以 配置 入 侵 检 测 系统 (Intrusion Detection System. IDS) ,作为 一 种 检测 欺骗 访问 站 点 的 
前 期 识别 方式 。 入 侵 检测 系统 还 能 帮助 管理 员 识 别 特定 的 .可 能 存在 安全 漏洞 的 访问 点 或 
网 段 ,能 够 帮助 网 络 管理 员 发 现 人 侵 者 的 物理 位 置 吕 。 

用 户 认证 的 基础 是 2001 年 6 月 批准 的 IEEE 802. 1x 标准 。IEEE 802. 1x 能 够 被 用 来 
在 访问 网 络 前 要 求 用 户 认证 ,但 是 附加 的 特性 需要 提供 所 有 的 无 线 局 域 网 要 求 的 密 钥 管理 
功能 。 利 用 IEEE 802. 1x 标准 能 够 设计 出 支持 相互 认证 的 协议 。 利 用 基于 TLS 的 方法 ,在 
客户 提供 可 信 性 认证 之 前 AP 需要 提供 它 的 身份 证 明 , 并 且 在 空中 传输 时 其 可 信 性 由 强健 
的 密码 技术 来 保证 。 在 IEEE 802. 11 的 MAC 采取 每 帧 认证 之 前 ,时 间 段 劫持 攻击 将 不 会 
得 到 完全 解决 。 除 非 时 间 段 劫持 攻击 是 一 个 连接 ,就 可 以 在 IEEE 802. 11 顶端 设计 一 个 密 
码 协议 来 防止 劫持 。 通 过 网 关 控 制 也 可 以 提供 认证 需求 。 网 关 可 以 为 无 线 网 络 建立 一 个 特 
殊 的 子 网 ,这 些 子 网 拥有 在 数据 包 传送 前 要 经 过 认证 的 网 关 而 且 还 可 以 利用 IEEE 802. 1q 
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标准 建立 虚拟 局 域 网 (Virtual Local Area Network,VLAN)。 利 用 这 一 标准 ,选择 端口 可 
以 通过 不 同 的 交换 机 进入 一 个 子 网 。 只 要 VLAN 主干 网 被 交换 机 所 支持 ,那么 即使 是 地 理 
上 分 割 开 来 的 子 网 也 可 以 通过 交换 机 互联 。 即 使 几 个 子 网 作为 VLAN 端口 在 同一 个 物理 
交换 机 上 ,使 用 VLAN 端口 的 节点 在 没有 经 过 路 由 器 或 网 关 的 情况 下 也 不 能 访问 其 他 的 子 
网 。 一 旦 VLAN 被 建立 起 来 ,一 个 仅 能 传输 经 过 认证 的 用 户 的 通信 流量 的 网 关 就 需要 建立 
起 来 。 由 于 VPN 服务 器 需要 认证 及 提供 客户 的 IP 地 址 和 密 钥 ,所 以 在 这 里 也 可 以 利用 网 
关 。 使 用 VPN 服务 器 作 网 关 不 仅 需 要 认证 用 户 ,而 且 要 用 户 独 有 的 密 钥 加 密 无 线 信息 流 ， 
去 除 对 WEP 中 共享 密 钥 的 使 用 需求 。VPN 连接 并 不 理想 ,理解 VPN 技术 .选择 VPN 网 
关 、 配 置 服务 器 及 支持 客户 等 都 是 不 易 完成 的 复杂 任务 。 还 有 一 种 特殊 的 防火 墙 网 关 , 这 种 
连接 仍然 使 用 VLAN 将 聚集 的 无 线 信息 流量 连接 到 一 个 网 关 , 但 是 取代 了 VPN, 这 个 网 关 
运行 特殊 的 代码 。 当 一 个 系统 加 入 该 无 线 局 域 网 时 ,防火 墙 /路 由 器 给 它 一 个 动态 主 配 置 协 
议 。 为 了 进行 访问 授权 ,客户 应 当 打 开 Web 浏览 器 。HTTP 协议 要 求 客户 经 过 网 关 主动 
发 出 一 个 改 向 的 认证 页 ,并 且 该 认证 要 求 发 往 Kerberos 服务 器 。 如 果 认 证 成 功 , 则 将 其 加 
入 规则 文件 并 在 防火 墙 的 IP 功能 表 中 将 其 标 为 “已 知 ”。 

从 用 户 的 观点 来 看 ,他 们 应 该 浏览 并 输入 用 户 身份 和 口令 来 获得 网 络 访问 权 , 不 需要 客 
户 安装 和 配置 。 这 种 方法 只 能 提供 认证 而 不 能 提供 加 密 ,并 且 对 同一 时 段 的 用 户 数量 没有 
限制 。 这 种 解决 方案 在 实际 应 用 中 是 独一无二 的 ,具有 很 好 的 效果 , 它 在 客户 和 多 家 厂商 网 
卡 都 不 用 任何 改变 的 情况 下 允许 访问 系统 。 

3. 保密 

IEEE 802. 11 标准 的 加 密 服务 使 用 基于 RC4 算法 的 WEP 协议 来 密封 数据 帧 的 有 效 负 
载 。 尽 管 WEP 指定 了 一 个 40 位 的 密 钥 ,但 是 还 有 一 些 厂 家 使 用 104 位 的 密 钥 。WEP 的 
本 意 并 不 是 提供 端 对 端的 加 密 方案 。 在 AP 和 无 线 设备 上 的 WEP 密 钥 可 以 被 轮换 使 用 ,但 
是 由 于 IEEE 802. 11 标准 没有 指定 密 钥 管理 协议 ,因此 所 有 的 密 钥 轮 换 都 必须 人 工 进 行 。 
同 SSID 一 样 ,轮换 WEP 密 钥 将 影响 到 所 有 的 AP 和 无 线 用 户 ,为 此 将 花费 网 络 管理 员 大 
量 的 精力 。 很 多 有 关 WEP 协议 的 缺陷 已 经 被 指出 ,该 协议 仅仅 保护 与 网 络 的 初始 连接 及 用 
户 数据 帧 ,而 管理 帧 和 控制 帧 没有 被 加 密 及 认证 ,这 就 给 攻击 者 利用 欺骗 帧 破坏 信息 传输 留 
下 了 可 乘 之 机 。 早 期 的 WEP 协议 是 很 容易 被 一 些 专门 的 工具 如 AirSnort 及 WEPCrack 
等 所 破解 的 ,但 经 过 改进 后 已 经 能 防止 目前 所 知 的 各 种 攻击 了 。 最 新 的 WEP 协议 作 了 更 
进一步 的 改进 ,利用 密 钥 管理 协议 每 分 钟 就 更 改 一 次 密 钥 。 即 使 是 最 繁忙 的 无 线 局 域 网 也 
不 会 在 15 分 钟 内 为 已 知 的 攻击 方法 产生 足够 的 数据 来 获得 密 钥 。 自 从 1999 4E 9 H IEEE 
批准 了 802. 11b 标准 以 来 ,WEP 协议 就 成 为 无 线 局 域 网 上 应 用 的 主要 的 加 密 机 制 , 用 来 对 
无 线 局 域 网 上 的 数据 流 进行 加 密 。 不 过 目前 许多 企业 并 没有 启动 WEP, 主 要 是 因为 WEP 
的 密 钥 管理 和 配置 起 来 过 于 繁琐 。 尽管 META Group 已 经 承认 了 一 些 与 WEP 有 关 的 漏 
洞 ,不 过 最 近 报 道 的 一 些 攻击 行为 证 明 ,该 保密 机 制 的 漏洞 要 比 想象 中 的 还 要 多 。 所 以 企业 
用 户 必须 依据 使 用 环境 的 机 密 要 求 程度 ,来 对 使 用 的 应 用 软件 进行 评估 。IEEE 802. 11b 标 
准 在 客户 端 和 AP 之 间 靠 WEP 提供 保密 通信 。 在 WEP 下 面 ,已 经 给 出 AP 的 所 有 用 户 共 
享 同 样 的 加 密 密 钥 。 为 了 在 一 个 范围 内 具有 可 移动 性 ,所 有 的 AP 应 当 被 设置 成 使 用 同样 
的 密 钥 并 且 所 有 的 客户 也 具有 同样 的 加 密 密 钥 。 另 外 ,数据 头 保持 未 加 密 状态 ,以 便 任何 人 
都 能 够 看 到 数据 传输 的 源 和 目的 。 
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7.3 安全 技术 


安全 技术 包括 两 个 方面 : 访问 控制 和 保密 性 。 访 问 控制 确保 敏感 的 数据 仅 由 获得 授权 
的 用 户 访问 ,保密 性 则 确保 传送 的 数据 只 被 目标 接收 人 接收 和 处 理 。 由 于 无 线 局 域 网 通过 
电磁 波 在 空中 传播 数据 ,所 以 在 接 入 点 覆盖 区 域内 的 几乎 任何 一 个 无 线 局 域 网 用 户 都 能 接 
触 到 这 些 数据 。 无 论 接触 数据 者 是 在 另外 一 个 房间 、 另 外 一 层 楼 或 是 在 本 建筑 物 之 外 ,要 将 
无 线 局 域 网 发 射 的 数据 只 传送 给 一 个 目标 接收 者 是 根本 不 可 能 实现 的 ,无 线 就 意味 着 会 让 
人 接触 到 数据 。 无 线 局 域 网 用 户 需 要 更 强大 的 安全 解决 方案 ,来 解决 数据 传输 过 程 中 的 安 
全 性 。 因 此 ,数据 保密 性 就 成 了 无 线 局 域 网 应 用 中 一 个 需要 非常 关注 的 方面 。 

由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ,因此 与 有 线 线 缆 不 同 , 任 何人 都 有 条 件 窃 
听 或 干扰 信息 ,因此 在 无 线 局 域 网 中 ,网 络 安全 很 重要 。 下 面 介绍 无 线 局 域 网 采用 的 一 些 安 
全 技术 。 


7.3.1 服务 装置 标识 符 


无 线 客户 端 必须 出 示 正 确 的 SSID 才能 访问 无 线 接 入 点 AP, 利 用 服务 装置 标识 符 
(Service Set Identifier,SSID) 可 以 很 好 地 进行 用 户 群 体 分 组 ,避免 任意 漫游 带 来 的 安全 和 
访问 性 能 的 问题 。 因 此 可 以 认为 SSID 是 一 个 简单 的 口令 ,从 而 为 无 线 局 域 网 提供 一 定 的 
安全 性 。 然 而 无 线 接 入 点 AP 向 外 广播 其 SSID, 使 安全 程度 下 降 。 另 外 ,一 般 情况 下 ,由 用 
户 自己 配置 客户 端 系统 ,所 以 很 多 人 都 知道 该 SSID ,非法 用 户 也 可 能 得 到 SSID。 况 且 有 的 
厂家 支持 任何 SSID 方式 ,只 要 无 线 客户 端 处 在 AP 范围 内 ,那么 它 都 会 自动 连接 到 AP, 这 
将 绕 过 SSID 的 安全 功能 。 


7.3.2 物理 地 址 过 滤 


物理 地 址 过 滤 : 每 个 无 线 客户 端 网 卡 都 由 唯一 的 物理 地 址 标识 ,因此 可 以 在 AP 中 手 
工 维护 一 组 允许 访问 的 MAC 地 址 列表 ,实现 物理 地 址 过 滤 。 物 理 地 址 过 滤 属 于 硬件 认证 ， 
而 不 是 用 户 认证 。 这 种 方式 要 求 AP 中 的 MAC 地 址 列表 必须 随时 更 新 ,目前 都 是 手工 操 
作 ; 如 果 用 户 增加 , 则 扩展 能 力 很 差 , 只 适合 于 小 型 网 络 规模 。 另 外 ,非法 用 户 利用 网 络 侦 
听 手 段 很 容易 窃取 合法 的 MAC 地 址 ,而 MAC 地 址 并 不 难 修改 ,因此 非法 用 户 完全 可 以 资 
用 合法 的 MAC 地 址 进行 非法 接 入 。 


7.3.3 直接 序列 扩 频 技术 


在 IEEE 802. 11b 高 速 标准 中 ,大 多 数 的 厂商 都 使 用 直接 序列 扩 频 技术 (DSSS) 作 为 物 
理 层 的 选择 。DSSS 将 每 一 个 位 信息 传送 之 后 再 附加 另外 一 个 位 , 称 为 Chip ,提供 容错 的 功 
能 以 及 信息 传递 的 一 致 性 ,Chip 也 让 信息 的 传输 更 加 安全 。 尽 管 如 此 ,黑客 还 是 可 以 使 用 
扩 频 分 析 仪 去 截取 无 线 电波 ,也 可 以 用 特定 的 无 线 网 卡 去 搜寻 各 频道 内 的 数据 ,进而 加 以 分 
析 与 破解 。 为 了 克服 这 个 问题 ,就 要 将 无 线 传输 中 的 信息 加 密 , 这 样 即使 信息 被 黑客 中 途 拦 
截 也 无 法 破解 。 在 DSSS 方式 中 ,信号 可 以 跨越 很 宽 的 频段 ,数据 基带 信号 的 频谱 被 扩展 几 


107 


第 7 章 无 线 局 域 网 的 安全 


倍 到 几 十 倍 再 被 搬移 至 射频 发 射出 去 。 

这 一 做 法 虽然 牺牲 了 频带 带宽 ,但 由 于 其 功率 密度 随 频谱 的 展 宽 而 降低 ,甚至 可 以 将 通 
信 信 号 淹没 在 自然 背景 噪声 中 ,因此 其 保密 性 很 强 。 要 截获 或 窃听 、 侦 察 这 样 的 信号 是 非常 
困难 的 ,除非 采用 与 发 送 端 相同 的 扩 频 码 与 之 同步 后 再 进行 相关 的 检测 ,否则 对 扩 频 信号 是 
无 能 为 力 的 。 


7.3.4 扩展 服务 集 标 识 符 


在 每 一 个 AP 内 都 会 写 和 一 个 服务 区 域 认 证 ID ,每 当 端点 要 连 上 AP 时 ,AP 会 检查 其 
扩展 服务 集 标识 符 (ESSID) 是 否 与 其 相同 ,如 果 不 符 就 拒绝 给 予 服务 。 壁 如 一 个 AP 上 的 
ESSID 是 “MY-Wireless-Net”, 而 想 连接 的 使 用 者 却 不 知道 AP 的 ESSID, 则 其 就 会 被 拒绝 。 


7.3.5 开放 系统 认证 


开放 系统 认证 是 IEEE 802. 11 标准 的 一 种 默认 认证 协议 , 它 对 任何 要 求 授权 的 客户 进 
行 认证 。 正 如 其 名 ,无 论 谁 请 求 认 证 都 会 被 对 方 通过 ,实质 上 , 它 是 一 个 空 认证 过 程 。 试 验 
表明 ,在 进行 网 络 连接 时 ,终端 之 间 确 实 采用 这 种 方法 进行 相互 认证 ,而 且 即 使 采用 了 WEP 
协议 进行 认证 ,这 种 认证 的 管理 帧 也 是 可 以 随意 地 在 网 络 中 传输 ,并 且 不 受 任何 阻碍 。 


7.3.6 共享 密 钥 认 证 


共享 密 钥 认 证 使 用 一 个 标准 的 询问 和 响应 帧 格式 ,其 中 包含 一 个 用 于 认证 的 共享 密 钥 。 
请 求 认证 的 终端 发 送 一 个 认证 请 求 管理 帧 ,表明 它 请 求 进行 共享 密 钥 认证 。 认 证 请 求 的 接 
收 端 则 发 送 一 个 包含 128 个 字 节 询问 正文 的 认证 管理 帧 给 发 送 端 作为 响应 。 这 个 询问 正文 
由 WEP 的 伪 随 机 序列 发 生 器 产生 ,其 中 包括 共享 密 钥 和 一 个 随机 初始 化 向 量 (IV)。 一 旦 
发 送 端 收 到 管理 帧 , 它 将 询问 正文 的 内 容 复制 到 一 个 新 的 管理 帧 的 正文 中 ,然后 WEP 协议 
使 用 共享 密 钥 和 新 的 IV 来 加 密 这 个 新 的 管理 帧 ,最 后 将 加 密 后 的 管理 帧 发 送 到 接收 端 。 
接收 端 将 收 到 的 帧 解密 ,首先 确定 32 比特 的 CRC 完整 校 验 值 是 否 正确 ,然后 再 确定 询问 正 
文 是 否 与 第 一 条 消息 相同 。 如 果 全 部 正确 ,这 样 认 证 就 成 功 了 。 如 果 认 证 成 功 ,发 送 端 和 接 
收 端 交换 一 下 角色 ,再 进行 一 次 上 述 的 过 程 ,以 确保 双方 相互 认证 。 共 享 密 钥 认 证 利用 一 个 
标准 请 求 和 应 答 一 起 共享 秘密 钥 来 提供 认证 。 当 某 个 站 点 要 获取 授权 时 , 它 发 出 一 个 认证 
请 求 管 理 帧 表明 它 想 使 用 共享 密 钥 认证 , 收 到 请 求 后 ,应 答 者 将 包含 着 128 个 8 位 数 的 应 答 
文本 的 认证 帧 发 回 给 请 求 者 ,应答 文 本 由 用 WEP. 伪 随 机 数 产生 器 利用 共享 密 钥 和 一 个 随 
机 初始 化 向 量 生成 。 一 旦 请 求 者 从 应 答 者 那里 收 到 管理 帧 , 它 就 将 管理 帧 的 内 容 拷贝 生成 
一 个 新 的 管理 帧 。 新 的 管理 帧 随后 被 WEP 用 共享 密 钥 和 请 求 者 新 选 的 初始 化 向 量 加 密 ， 
然后 将 加 密 后 的 管理 帧 发 送 给 应 答 者 。 应 答 者 对 收 到 的 帧 解密 并 校 验 , 然 后 将 其 与 第 一 次 
发 出 信息 的 请 求 文本 进行 比较 ,如 果 相同 则 认证 成 功 。 如 果 认 证 成 功 , 则 请 求 者 与 应 答 者 互 
换 角色 并 重复 这 一 过 程 以 加 强 相 互 认 证 。 如 果 认 证 成 功 , 则 状态 码 置 零 ; 如 果 认 证 不 成 功 
则 返回 一 个 错误 值 。 要 素 标识 符 中 包含 着 请 求 文 本 ,长 度 域 标 识 出 请 求 文 本 的 长 度 , 最 长 是 
128。 请 求 文本 包含 了 随机 请 求 串 。 
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7.3.7 ”封闭 网 络 访问 控制 


朗讯 (Lucent) 公 司 定义 了 一 个 称 为 封闭 网 络 的 特殊 的 访问 控制 机 制 。 在 该 机 制 中 ,网 
络 管理 员 可 以 使 用 开放 的 或 封闭 的 网 络 。 在 开放 的 网 络 中 ,任何 人 都 允许 连接 访问 网 络 : 
而 在 封闭 的 网 络 中 ,只 有 那些 知道 网 络 名 称 或 SSID 的 用 户 才 可 连接 。 在 这 里 ,网 络 名 实际 
上 就 作为 一 个 共享 密 钥 。 但 是 ,这 个 机 制 只 适合 于 朗讯 自己 的 产品 。 


7.3.8 访问 控制 列表 


在 软件 开发 上 采用 的 另 一 个 保证 安全 的 机 制 是 基于 用 户 以 太 网 MAC 地 址 的 访问 控制 
机 制 , 但 是 这 个 机 制 并 没有 在 标准 中 定义 。 可 以 将 无 线 局 域 网 只 设 定 为 给 特定 的 节点 使 用 ， 
因为 每 一 张 无 线 网 卡 都 有 一 个 唯一 的 MAC 地 址 ,只 要 将 其 分 别 输入 AP 即 可 。 相 反 的 ,如 
果 有 网 卡 被 偷 或 发 觉 有 存 取 行 为 异样 ,也 可 以 将 这 些 MAC 地 址 输入 ,禁止 其 再 次 使 用 。 
利用 这 个 存 取 控制 机 制 , 如 果 有 外 来 的 不 速 之 客 得 知 公司 使 用 的 无 线 局 域 网 ESSID 也 一 
样 会 被 拒绝 在 外 。 每 一 个 AP 都 可 以 用 所 列 出 的 MAC 地 址 来 限制 网 络 中 的 用 户 数 ,如 果 
用 户 的 MAC 地 址 存在 于 列表 中 ,那么 就 允许 它 访 问 网 络 ; 如 果 不 在 列表 中 ,就 不 允许 它 
访问 。 


7.3.9 BAER 


t IEEE 802. 11 标准 而 论 ,其 实 并 没有 实现 严格 意义 上 的 密 钥 管理 ,只 有 少数 开发 商 
在 他 们 的 高 端 产 品 中 实现 了 某 一 形式 的 密 钥 管理 或 密 钥 协议 ,所 有 开发 商都 没有 提供 足够 
的 信息 来 确定 产品 所 保证 的 安全 等 级 。 

IEEE 802. 11 标准 提出 两 种 使 用 WEP 密 钥 的 方法 。 第 一 种 方法 提供 了 一 个 4 个 密 钥 
的 窗口 ,终端 或 AP 能 够 使 用 任何 一 种 密 钥 来 解密 数据 包 。 然 而 ,在 传输 数据 时 ,只 能 手动 
输入 1 个 密 钥 一 一 默认 密 钥 。 第 二 种 方法 叫做 密 钥 映 射 表 , 这 个 方法 规定 每 个 唯一 的 MAC 
地 址 都 有 1 个 单独 的 密 钥 。 根 据 IEEE 802. 11 标准 , 密 钥 映射 表 的 大 小 至 少 包含 10 个 条 
目 ,最 大 的 容量 则 取决 于 芯片 的 设置 。 每 个 用 户 使 用 各 自 单独 的 密 钥 可 以 减少 密码 攻击 的 
可 能 性 ,但 是 实施 一 个 合理 的 密 钥 周期 仍然 是 一 个 问题 ,因为 密 钥 只 能 手动 改变 。 

密 钥 管理 是 IEEE 802. 11 的 一 个 失误 的 地 方 , 它 好 像 是 留 给 厂商 的 作业 题 ,但 事实 上 
只 有 少数 几 个 厂商 在 他 们 的 高 端 产品 中 设置 了 密 钥 管理 或 密 钥 协商 的 功能 。 实 际 上 ,没有 
一 个 厂商 能 提供 充分 的 信息 以 确定 他 们 的 产品 所 能 提供 的 安全 保证 的 水 平 。 在 有 些 情况 
下 ,由 于 使 用 众所周知 的 脆弱 的 协议 如 没有 认证 的 Diffie-Hellman 密 钥 交 换 协议 等 ,厂商 的 
“解决 方案 ”反而 使 得 安全 性 变 得 更 糟 [3 。 
7.83.10 虚拟 专用 网 

虚拟 专用 网 (Virtual Private Networks, VPN) 技 术 是 目前 快速 增长 的 一 种 安全 技术 ， 
用 来 在 公共 网 络 基 础 设施 (public network infrastructures) 上 建立 一 个 虚拟 的 专用 通道 , 进 


行 安全 的 数据 传输 。 近 年 来 ,VPN 技术 已 经 使 得 企业 可 以 利用 Internet 进行 远程 访问 
(remote access)。 目 前 ,VPN 技术 主要 应 用 在 下 面 三 种 不 同 的 场合 : 远程 访问 ,局 域 网 间 
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(LAN-to-LAN) 的 连通 和 特殊 网 络 。 对 于 较 大 规模 和 安全 等 级 高 的 商业 网 络 来 说 ,VPN 是 
THX WEP 和 MAC 地 址 过 滤 的 较为 理想 的 无 线 接 入 的 安全 方案 。 在 VPN 安全 方案 中 ， 
VPN 为 接 入 用 户 提供 一 条 专用 的 安全 接 入 隧道 到 内 部 网 络 。 常 用 的 隧道 有 PPT、L2PP, 网 
络 结构 为 标准 的 集中 认证 结构 ,如 Radius 服务 器 认证 。 客 户 端 与 内 部 网 络 被 AP 和 VPN 
服务 器 之 间 的 局 域 网 和 VPN 服务 器 隔 开 。VPN 服务 器 负责 客户 端的 认证 和 传输 加 密 , 同 
时 作为 内 部 网 络 的 网 关 。 
VPN 方案 的 优点 有 : 
。 适用 于 用 户 众多 的 大 规模 网 络 。 
。 对 AP 和 客户 端的 管理 需求 小 ,而 VPN 服务 器 可 集中 管理 。 
。 客户 端 与 内 部 网 络 隔离 ,通信 前 必须 经 过 VPN 认证 。 
* WEP 密 钥 和 MAC 地 址 列表 的 管理 成 为 可 选项 。 
。 统一 的 用 户 界面 。 
VPN 使 用 起 来 也 有 一 些 缺 点 : 
。 现 阶段 WLAN 的 VPN 安全 方案 不 支持 广播 功能 。 大 规模 网 络 通过 广播 功能 从 信 
息 源 向 多 用 户 传送 视频 、 音 频 等 信息 ,如 果 通 过 多 个 点 对 点 传送 来 实现 ,将 占用 网 络 
的 很 多 带宽 ,而 广播 能 更 有 效 地 利用 网 络 带宽 在 骨干 线路 上 传输 这 些 信息 。 
。 当 移 动 终端 从 一 个 VPN 服务 器 所 在 的 子 网 漫游 到 另 一 个 子 网 ,用 户 需 重新 登录 。 
同样 , 当 客户 端 从 待机 模式 重新 激活 时 也 需要 重新 登录 。 


7.3.11 RADIUS 服务 


RADIUS( Remote Authentication Dial-In User Service, 远程 拨号 接 人 用 户 认 证 协 
议 ) 上 9 以 客户 机 /服务 器 模式 工作 ,实现 了 对 访问 网 络 用 户 的 身份 认证 、 授 权 、. 计 费 等 增强 的 
服务 功能 。 其 客户 端 多 为 网 络 访问 服务 器 (NAS) ,主要 用 于 将 用 户 信息 传递 给 RADIUS 服 
务 器 ,RADIUS 服务 器 对 用 户 进行 认证 ,并 返回 用 户 的 网 络 访问 配置 信息 。RADIUS 协议 

1. 客户 机 /服务 器 模式 

RADIUS 协议 的 客户 端 通常 是 网 络 接 人 服务 器 (NAS)。 客 户 端的 任务 是 把 用 户 的 信 
息 ( 如 账号 .口令 等 ) 传 给 指定 的 RADIUS 服务 器 ,并 接受 服务 器 的 响应 。RADIUS 服务 器 
的 任务 主要 是 : 接受 用 户 的 连接 请 求 ; 对 用 户 身 份 进行 认证 ; 返回 用 户 接 和 网 络 的 所 有 配 
置信 息 。 同 时 ,RADIUS 服务 器 还 可 以 作为 其 他 RADIUS 服务 器 或 异种 认证 服务 器 的 代理 
客户 。 

2. 网 络 安全 方面 

客户 端 和 RADIUS 服务 器 之 间 的 交互 经 过 了 共享 密 钥 法 认证 。 另 外 ,为 防止 他 人 经 过 
传输 线路 获得 用 户口 令 ,在 传输 过 程 中 对 口令 进行 了 加 密 。 

3. 灵活 的 认证 机 制 

RADIUS 服务 器 支持 多 种 认证 方法 。 当 用 户 提供 用 户 名 和 原始 口令 时 , 它 可 以 支持 
PPP.CHAP.UNIX Login 和 其 他 的 认证 机 制 。 
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4. 协议 的 可 扩展 性 

所 有 的 交互 都 包含 可 变 长 的 属性 字段 。 为 满足 实际 需要 ,用 户 可 以 加 入 新 的 属性 值 而 
不 会 对 原 协 议 有 任何 影响 。 

大 公司 的 远程 用 户 常常 通过 RADIUS 实现 网 络 认证 登录 。 企 业 的 IT 网 络 管理 员 能 够 
将 无 线 局 域 网 集成 到 已 经 存在 的 RADIUS 架构 内 来 简化 对 用 户 的 管理 。 这 样 不 仅 能 实现 
无 线 网 络 的 认证 ,而 且 还 能 保证 无 线 用 户 与 远程 用 户 使 用 同样 的 认证 方法 和 账号 。 


7.3.12 入 侵 检 测 系 统 


和信 侵 检测 系统 (Intrusion Detection System,IDS) 是 一 种 用 来 检测 是 否 存在 未 经 授权 的 
用 户 试图 访问 网 络 或 访问 已 经 访问 网 络 ,甚至 已 经 危及 网 络 安全 的 有 效 工 具 。 对 于 WLAN 
而 言 ,IDS 可 能 基于 主机 (host-based IDS) ,也 可 能 基于 网 络 (network-based IDS), 

基于 主机 的 IDS 为 特殊 的 漏洞 或 重要 的 系统 增加 了 一 个 安全 层 。 基 于 主机 的 代理 安 
装 于 单独 的 系统 中 (例如 ,数据库 服务 器 ), 用 于 监视 审计 记录 及 可 疑 行为 的 系统 日 志 ( 例 如 ， 
多 次 错误 登录 或 更 改 文件 的 使 用 权限 等 )。 基 于 主机 的 代理 也 可 以 使 用 校 验 和 (checksumy) 
定期 查看 系统 文件 的 变动 情况 。 虽 然 基 于 主机 的 代理 主要 功能 在 于 生成 日 志 , 分 析 事 件 和 
在 紧急 情况 下 发 警报 等 ,但 是 在 一 些 情况 下 ,代理 也 可 以 中 断 对 系统 的 攻击 。 

基于 网 络 的 IDS 用 来 实时 (或 尽 可 能 实时 ) 地 按 数 据 包 监视 LAN( 或 部 分 LAN) 上 的 网 
络 通信 ,确定 传输 的 数据 是 否 与 预定 的 攻击 特征 (与 已 知 攻 击 特 征 相 匹配 的 行为 ) 相 一 致 。 
例如 ,TearDrop DoS 拒绝 服务 攻击 会 以 类 似 于 碰撞 目标 系统 的 方法 来 发 送 数 据 包 片断 。 网 
络 监听 可 以 识别 出 与 这 种 攻击 特征 一 致 的 数据 包 , 并 采取 诸如 切断 网 络 会 话 等 保护 措施 , 同 
时 向 管理 员 发 E-mail 报警 或 采取 其 他 指定 的 行动 。 对 于 像 SSL(Security Socket Layer) 网 
络 会 话 或 VPN 连接 等 所 涉及 的 加 密 通 信 , 基 于 主机 的 IDS 系统 要 优 于 基于 网 络 的 IDS。 这 
是 因为 代理 位 于 组 件 本 身 ,所 以 基于 主机 的 IDS 系统 能 够 检查 加 密 后 的 数据 。 相 比 而 言 ， 
基于 网 络 的 IDS 系统 不 能 解密 数据 ,因此 加 密 的 数据 会 不 经 检测 进行 传输 。 

无 线 入 侵 检 测 系 统 用 于 集中 式 和 分 散 式 两 种 。 集 中 式 无 线 入 侵 检 测 系统 通常 用 于 连接 
单独 的 传感器 ,搜集 数据 并 转发 到 存储 和 处 理 数据 的 中 央 系 统 中 。 分 散 式 无 线 入 侵 检 测 系 
统 通常 包括 多 种 设备 来 完成 IDS 的 处 理 和 报告 功能 。 分 散 式 无 线 入 侵 检 测 系统 比较 适合 
较 小 规模 的 无 线 局 域 网 ,因为 它 价格 便宜 和 易于 管理 。 多 线程 的 处 理 和 报告 的 传感器 管理 
比 集中 式 无 线 入 侵 检测 系统 花费 更 多 的 时 间 。 

无 线 局 域 网 通常 被 配置 在 一 个 相对 大 的 场所 。 像 这 种 情况 ,为 了 更 好 地 接收 信号 ,需要 
配置 多 个 无 线 基站 (Wireless Access Points. WAPs) ,在 无 线 基站 的 位 置 上 部 署 传感器 ,这 
样 会 提高 信号 的 覆盖 范围 。 由 于 这 种 物理 架构 ,大 多 数 的 黑客 行为 将 被 检测 到 。 另 外 的 好 
处 就 是 加 强 了 同 无 线 基 站 的 距离 ,从 而 ,能 更 好 地 定位 黑客 的 详细 地 理 位 置 。 


7.3.13 个 人 防火 墙 


由 于 公共 无 线 网 络 上 的 资料 通常 没有 如 内 部 资料 那样 的 保护 措施 ,所 以 很 容易 遭 到 攻 
击 。 个 人 防火 墙 针 对 某 些 攻击 提供 了 一 些 保护 措施 。 个 人 防火 墙 是 基于 软件 的 解决 方案 ， 
安装 在 客户 端 , 由 客户 端 管理 或 进行 集中 式 管 理 。 对 于 由 客户 端 管理 的 防火 墙 , 个 人 用 户 无 
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需 遵 循 特定 的 规则 即 可 方便 地 进行 配置 ,所 以 最 适合 低 端 用 户 。 而 集中 式 管 理 防火 墙 可 以 
使 IT 部 门 进行 配置 或 远程 管理 ,提供 了 更 高 水 平 的 安全 防护 。 集 中 式 管理 的 解决 方案 多 
许 企业 根据 已 知 漏洞 来 修改 客户 端 防火 墙 , 并 为 所 有 的 远程 用 户 提供 一 致 的 安全 策略 。 一 
些 这 类 高 端 产品 也 拥有 VPN 和 安全 审计 的 功能 。 虽 然 个 人 防火 墙 可 以 提供 一 些 保护 措 
施 , 但 是 它们 也 不 能 够 防范 高 级 的 攻击 方法 。 


7.3.14 基于 生物 特征 识别 


基于 生物 特征 识别 (biometrics) 包 括 指纹 / 掌 纹 扫描 器 .视网膜 和 虹膜 扫描 器 、 面 部 扫描 
器 和 语音 图 谱 扫 描 器 等 。 单 独 使 用 基于 生物 特征 识别 技术 或 与 其 他 安全 方案 一 起 使 用 可 以 
提供 另外 一 层 保护 措施 。 例 如 ,安全 性 要 求 很 高 的 企业 可 以 将 生物 特征 识别 系统 集成 到 无 
线 智 能 卡 , 带 有 无 线 网 卡 的 笔记 本 电脑 和 其 他 一 些 无 线 设备 中 ,在 过 去 常 使 用 用 户 名 /密码 
来 访问 无 线 网 络 的 地 方 使 用 基于 生物 特征 识别 系统 。 此 外 ,生物 特征 识别 技术 可 以 和 VPN 
结合 起 来 提供 身份 认证 和 数据 保密 性 。 


7.3.15 双 因素 身份 认证 


一 种 可 选 的 身份 认证 方案 是 双 因素 认证 。 双 因素 认证 (two-factor authentication) 的 一 
种 形式 是 使 用 对 称 密码 算法 每 分 钟 生 成 一 个 新 码 字 ,这 个 码 字 和 用 户 个 人 识别 号 (Personal 
Identification Number,PIN) 搭 配 使 用 , 且 只 能 使 用 一 次 。 双 因素 认证 的 另 一 个 形式 是 将 用 
户 智能 卡 和 个 人 识别 号 搭配 使 用 。 因 此 , 双 因 素 认证 需要 有 智能 卡 阅读 机 或 个 人 识别 号 认 
证 服务 器 。 


7.3.16 智能卡 


智能 卡 (smart card) 可 以 为 WLAN 增加 另外 一 层 保护 。 可 以 使 用 和 用 户 名 、 密 码 相关 
的 智能 卡 , 也 可 以 使 用 双 因 素 身份 认证 的 智能 卡 。 例 如 ,将 智能 卡 与 基于 生物 特征 识别 结合 
起 来 使 用 。 在 无 线 网 络 中 .智能卡 提供 了 另外 一 种 身份 认证 形式 。 在 要 求 除 简单 的 用 户 名 
和 密码 之 外 的 身份 认证 时 ,智能 卡 非常 有 效 。 用 户 的 数字 证 书 和 其 他 信息 都 存在 智能 卡 上 ， 
通常 只 要 求 用 户 记 住 个 人 识别 号 即 可 。 由 于 智能 卡 便于 携带 ,所 以 用 户 可 以 从 不 同 的 地 方 
安全 访问 无 线 网 络 。 如 同 身 份 认 证 软件 解决 方案 一 样 ,智能 卡 也 被 集成 到 WLAN 系统 ,用 
以 增强 整个 系统 的 安全 性 。 此 外 ,用 户 应 该 充分 认识 智能 卡 所 提供 的 安全 性 ,单独 使 用 智能 
卡 不 可 能 解决 802. 11 安全 中 的 所 有 问题 。 


7.4 安全 协议 


目前 ,WLAN 业务 的 需求 日 益 增长 ,但 是 相应 的 安全 措施 却 无 法 令 人 满意 。 最 初 人 们 
在 研究 无 线 网 络 的 安全 问题 时 ,理所当然 地 把 原来 应 用 于 有 线 网 络 的 安全 协议 植 人 到 无 线 
网 络 中 去 ,但 是 这 种 移植 的 效果 ,从 WLAN 安全 标准 的 发 展 情 况 看 ,还 远 远 未 达到 要 求 。 
IEEE 正 致力 于 消除 WLAN 的 安全 问题 ,因此 发 展 了 一 系列 的 安全 协议 。 
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7.4.1 WEP 协议 


为 了 保障 无 限 局 域 网 中 实体 间 的 通信 遭受 窃听 和 其 他 攻击 ,802. 11 协议 中 定义 了 
WEP 子 协议 , 它 规定 了 对 无 线 通信 数据 进行 加 密 的 方法 ,并 对 无 线 网 络 的 访问 控制 等 方面 
做 出 了 具体 的 规定 。WEP 设计 的 思想 是 : 通过 使 用 RC4 流 密 码 算法 加 密 来 保护 数据 的 机 
密 性 ; 通过 移动 站 Station 与 访问 点 AP 共享 同一 密 钥 实 施 接 入 控制 ; 通过 CRC-32 循环 宛 
余 校 验 值 来 保护 数据 的 完整 性 。 

1. RC4 加 密 算法 

RC4 是 Ron Rivest 在 1987 年 为 RSA 数据 安全 公司 开发 的 , 它 是 一 种 可 变 密 钥 长 度 的 
流 密 码 ,该 算法 以 OFB 方式 工作 , 密 钥 序 列 与 明文 相互 独立 。 它 有 一 个 8X8 的 S 盒 : Su， 
S1，,…，,Szss 。 所 有 项 都 是 数字 0 一 255 的 置换 ,并 且 这 个 置换 是 一 个 可 变 长 度 密 钥 的 函数 。 
它 有 两 个 计数 器 : i 和 j , 初 值 均 为 0。 要 产生 一 个 随机 字 节 ,需要 经 过 以 下 计算 : 

i = Gi+1) mod 256 

j = G+S,) mod 256 
交换 S, AS; : 

t = (S, + Sj) mod 256 

K=S, 

FW K 与 明 异 或 得 到 密 文 , 或 与 密 文 异 或 得 到 明文 ,加密 速度 是 DES 的 10 倍 。S 盒 的 
初始 化 过 程 如 下 : 首先 将 其 进行 线性 填充 S,—1.S, 二 1,… ,Szss 二 255。 然 后 用 密 钥 填充 另 
一 个 256 字 节 的 数组 , 密 钥 不 够 长 时 可 重复 利用 给 定 密 钥 以 填 满 整个 数组 : Ko Ky ens 
Koss 。 将 计数 器 j 设 为 0, 执行 下 述 程序 : 

for i = 0 to 255 
j= G+S,+K,) mod 256 
swap(S;.S;) 

以 上 就 是 全 部 的 描述 ,RSA 数据 安全 公司 宣称 该 算法 对 差分 攻击 和 线性 分 析 是 免疫 的 ， 
没有 短 循环 ,并 且 具 有 高 度 非 线性 ,目前 尚 无 公开 的 分 析 结 果 。 它 大 约 有 256! x 256? = 217 f 
可 能 的 状态 ,S 盒 在 使 用 中 慢 慢 改 变 : i 保证 每 个 元 素 的 改变 ,j 保证 元 素 随机 的 改变 ,算法 
简单 ,易于 编程 实现 。 可 以 设想 利用 更 大 的 S 盒 和 更 长 的 字 , 若 要 用 16X16 的 S 盒 , 初 始 化 
过 程 将 会 很 漫长 。RC4 流 密码 算法 是 无 线 局 域 网 的 安全 协议 WEP 和 TKIP 中 采用 的 加 密 
算法 ,理解 它 的 基本 工作 原理 有 助 于 我 们 对 这 些 安全 协议 进行 分 析 。 

2. WEP 协议 的 基本 原理 

1) WEP 数据 的 加 密 过 程 

首先 计算 原始 数据 包 中 明文 数据 的 CRC-32 元 余 校 验 码 。 设 消息 为 M,CRC 校 验 和 为 
ICV, 则 得 到 传输 明文 数据 为 P=<M.ICV>. FREJ RCA 算法 进行 加 密 。 将 
24bit 的 初始 化 矢量 IV 与 共享 密 钥 Key 连接 起 来 构成 种 子 密 钥 ,采用 RC4 算法 生成 密 钥 序 
列 RCACV. Key) ,再 将 密 钥 序列 与 传输 明文 序列 进行 异 或 得 到 密 文 即 相应 的 密 文 为 C= 
PRC4(IV ,Key) 。 发 送 方 将 IV 以 明文 形式 和 密 文 C 一 起 发 送 。 
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2) WEP 数据 的 解密 过 程 

在 密 文 P 传送 到 接收 方 以 后 ,接收 方 从 数据 包 中 提取 出 IV 和 和 密 文 ,将 IV 和 持 有 的 密 
钥 Key 一 起 送 入 采用 RC4 算法 的 伪 随 机 数 发 生 器 得 到 解密 密 钥 流 ,该 解密 密 钥 流 实际 上 与 
加 密 密 钥 流 相同 ,再 将 解密 密 钥 流 与 密 文 相 异 或 ,就 得 到 了 原始 明文 M 和 它 的 CRC 校 验 和 
ICV。 人 解密 过 程 可 以 表示 为 下 式 : 

{M,ICV}= C@ RC4(IV, Key) = (M.ICV) ® RC4A(IV, Key) ® RCACIV, Key) 

3) WEP 数据 的 完整 性 保护 

为 了 防止 数据 在 无 线 传输 过 程 中 遭 到 算 改 ,WEP 采用 CRC-32 循环 元 余 校 验 和 来 保护 
数据 的 完整 性 。 发 送 方 在 发 出 数据 包 前 要 计算 明文 的 CRC-32 校 验 和 ICV. If KF HSC PAG 
ICV 一 起 加 密 后 发 送 。 接 收 方 收 到 加 密 数 据 后 先 对 数据 进行 解密 ,然后 计算 解密 出 的 明文 
的 CRC-32 校 验 和 ,并 将 计算 值 与 解密 出 的 ICV 进行 比较 ,车 二 者 相同 , 则 认为 数据 在 传输 
过 程 中 没有 被 自 改 ,否则 认为 数据 已 被 自 改 过 ,丢弃 该 数据 包 。 

4) WEP 规定 的 访问 控制 

WEP 协议 规定 了 两 种 认证 方式 : 开放 系统 认证 和 共享 密 钥 认 证 。 开 放 系 统 认证 的 实 
质 是 不 进行 用 户 认证 ,任何 接 入 WLAN 的 请 求 都 被 允许 。 共 享 密 钥 认证 是 通过 检验 AP 和 
Station 是 否 共享 同一 密 钥 来 实现 的 ,该 密 钥 就 是 WEP 的 加 密 密 钥 。 此 认证 采用 
Challenge-Response 方式 , 当 移 动 站 Station 想 要 接 入 无 线 网 络 时 , 它 搜索 距离 最 近 的 访问 
点 AP。 找 到 访问 点 AP 以 后 ,移动 站 Station 向 访问 点 AP 发 送 一 个 接 入 请 求 , 访 问 点 AP 
接收 到 Station 的 请 求 以 后 ,向 Station 发 送 一 个 随机 数 。Station 用 双方 的 共享 密 钥 和 上 述 
的 加 密 方法 对 收 到 的 随机 数 加 密 , 将 密 文 回 送 给 访问 点 AP。AP 再 用 双方 的 共享 密 钥 对 密 
文 进行 解密 ,将 解密 结果 与 发 送 的 随机 数 相 比较 , 若 相同 则 验证 了 Station 是 合法 用 户 ,允许 
其 接 入 ; 否则 ,拒绝 该 Station ff) Bz A ifs 

3. WEP 协议 的 安全 性 

WEP 虽然 通过 加 密 提 供 网 络 的 安全 性 ,但 存在 许多 缺陷 。 美 国 加 州 大 学 伯克利 分 校 的 
Borisov,Goldberg and Wagner 最 早 发 表 论 文中 WEP 协议 中 存在 的 设计 失误 , 接 下 来 信息 
安全 界 的 研究 人 员 发 表 了 大 量 论文 详细 讨论 了 WEP 协议 中 的 安全 缺陷 ,并 与 工程 技术 人 
员 协 作 在 实验 中 破译 了 使 用 WEP 协议 加 密 的 无 线 传输 数据 。WEP 安全 缺陷 具体 体现 在 
以 下 几 个 方面 659 。 

D 缺少 密 钥 管理 

用 户 的 加 密 密 钥 必须 与 AP 的 密 钥 相同 ,并 且 一 个 服务 区 内 的 所 有 用 户 都 共享 同一 把 
WH. WEP 标准 中 并 没有 规定 共享 密 钥 的 管理 方案 ,通常 是 手工 进行 配置 与 维护 。 由 于 同 
时 更 换 密 钥 费时 与 困难 ,所 以 密 钥 通常 长 时 间 使 用 而 很 少 更 换 。 倘 若 一 个 用 户 丢 失 密 钥 , 则 
将 珊 及 到 整个 网 络 。 

2) ICV 算法 不 合适 

WEP ICV 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪音 和 普通 错误 的 算法 。CRC-32 是 信 
息 的 线性 函数 ,这 意味 着 攻击 者 可 以 自 改 加 密 信息 ,并 很 容易 地 修改 ICV ,使 信息 表面 上 看 
起 来 是 可 信 的 。 能 够 筑 改 即 加 密 数据 包 使 各 种 各 样 的 非常 简单 的 攻击 成 为 可 能 。 

3) RC4 算法 存在 弱点 

在 RCA 中 ,人 们 发 现 了 弱 密 钥 。 所 谓 弱 密 钥 ,就 是 密 钥 与 输出 之 间 存在 超出 一 个 好 密 
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码 所 应 具有 的 相关 性 。 在 24 位 的 IV 值 中 ,有 9000 多 个 弱 密 钥 。 攻 击 者 收集 到 足够 的 使 用 
弱 密 钥 的 包 后 ,就 可 以 对 它们 进行 分 析 , 只 需 尝 试 很 少 的 密 钥 就 可 以 接 人 到 网 络 中 。 目 前 能 
够 截获 WLAN 中 无 线 传输 数据 的 硬件 设备 已 经 能 够 在 市 场 上 买 到 ,可 以 对 截获 数据 进行 
解密 的 黑客 软件 也 已 能 够 在 Internet. 上 下 载 , 如 airsort[] ,wepcrack/? 4, WEP 协议 面临 着 
前 所 未 有 的 严峻 形势 ,对 它 进行 修订 已 经 是 迫在眉睫 了 。 


7.4.2 WEP 的 改进 方案 TKIP 


TKIP 基于 RC4, 在 WEP 的 基础 上 增加 了 一 些 新 的 算法 ,主要 有 : 

(1) MIC 码 (Message Integrity Code) 。 它 的 作用 在 于 验证 消息 的 真 伪 ,如 果 在 一 秒 之 
内 发 现 了 与 MIC 码 不 匹配 的 数据 帧 ,TKIP 认为 受到 了 攻击 。 客 户 端 将 删除 密 钥 ,取消 与 
AP 的 关联 ,等 待 一 分 钟 后 再 与 AP 重新 关联 。 

(2) 新 的 IV 起 始 算 法 。 为 防止 “ 重 放 ”攻击 ,TKIP 建立 了 MIC 密 钥 与 分 组 序列 号 的 关 
WK, 一旦 MIC 密 钥 更 换 , 分 组 序列 号 就 重新 起 始 。 

(3) 密 钥 混合 。 生 成 临时 密 钥 , 取 代 WEP 中 使 用 的 共享 密 钥 。 临 时 密 钥 有 一 个 的 生命 
周期 ,过 期 后 将 被 新 的 临时 密 钥 取 代 。 

(4) 三 级 密 钥 层次 下 的 密 钥 更 新 。TKIP 密 钥 混合 最 多 能 生成 216 个 IV, 因 此 每 发 送 
216 个 分 组 ,TKIP 就 需要 更 新 一 次 临时 密 钥 。 

目前 Wi-Fi 推荐 的 无 线 局 域 网 安全 解决 方案 WPA(Wi-Fi Protected Access) 以 及 制定 中 的 
IEEE 802. 11i 标准 均 采 用 临时 密 钥 完 整 性 协议 TKIP(Temporal Key Integrity Protocol) 作 
为 一 种 过 渡 安 全 解决 方案 。 然 而 WEP 算法 的 安全 漏洞 是 由 于 WEP 机 制 本 身 引起 的 ,与 密 
钥 的 长 度 无 关 , 即 使 增加 加 密 密 钥 的 长 度 , 也 不 可 能 增强 其 安全 程序 ,初始 化 向 量 IV 长 度 
的 增加 也 只 能 在 有 限 程度 上 提高 破解 难度 ,比如 延长 破解 收集 时 间 ,并 不 能 从 根本 上 解决 问 
题 ,因为 作为 安全 关键 的 加 密 部 分 ,TKIP 没有 脱离 WEP 核心 机 制 。 甚 至 TKIP 更 易 受 攻 
击 ,因为 它 采 用 了 Kerberos 密码 ,常常 可 以 用 简单 的 猜测 方法 攻破 中 。 另 一 个 严重 问题 是 
加 /解密 处 理 效率 问题 没有 得 到 任何 改进 ,甚至 更 差 。Wi-Fi 联盟 和 IEEE 802 委员 会 也 承 
ik TKIP 只 能 作为 一 种 临时 的 过 渡 方 案 , 而 不 是 最 终 方案 。 


7.4.3 认证 端口 访问 控制 技术 (IEEE 802. 1x) 


IEEE 802. 1x 协议 , 称 为 基于 端口 的 访问 控制 协议 (Port Based Network Access 
Control Protocol) ,是 由 IEEE 2001 年 6 月 提出 来 的 符合 IEEE 802 协议 集 的 局 域 网 接 入 控 
制 协议 。 主 要 是 为 了 解决 无 线 局 域 网 用 户 的 接 人 认证 问题 ,能 够 在 利用 IEEE 802 局 域 网 
优势 的 基础 上 提供 一 种 对 连接 到 局 域 网 用 户 的 认证 。802. 1x 的 核心 是 可 扩展 认证 协议 
EAP(Extensible Authentication Protocol? ,实质 是 对 以 太 网 端口 进行 鉴 权 , 可 应 用 于 无 
线 和 有 线 以 太 网 络 。 

802. 1x 标准 是 需要 网 络 服务 的 系统 和 网 络 之 间 的 认证 对 话 , 这 个 对 话 采 用 了 IETF 的 
EAP 协议 。802. 1x 标准 由 申请 者 (suppliant) 和 认证 端 (authenticator) 的 端口 接 入 实体 
PAE(Port Access Entity) ,EAP 封装 协议 (EAPOL 或 EAPOW) 和 远程 用 户 接 入 认证 服务 
fit (Radius Access Server) 组 成 。802. 1x 标准 对 我 们 传统 概念 的 网 络 端口 再 予以 定义 ,并 对 
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它 增加 了 认证 功能 。 在 802. 1x 标准 中 最 主要 的 组 件 是 网 络 接 入 端口 (network access 
port) , 它 可 以 是 物理 网 络 接口 或 MAC 地 址 ,在 端口 的 上 一 层 是 端口 接 入 实体 PAE; 另 一 
个 组 件 是 逻辑 控制 ,管理 哪些 数据 包 人 允许 通过 ,发送 给 其 他 设备 ,哪些 数据 包 被 拒绝 。 

802. 1x 标准 中 申请 者 (suppliant) 和 认证 端 (authenticator) 都 支持 双 端 口 和 PAE 的 概 
念 。 在 基础 结构 无 线 局 域 网 络 中 ,无 线 工作 站 STA 就 是 申请 者 , 接 入 点 AP 就 是 认证 端 。 
在 802. 1x 中 认证 端 即 接 入 点 有 两 种 类 型 的 端口 (port): 可 控制 端口 (controlled port) 和 不 
可 控制 端口 (uncontrolled port)。 可 控制 端口 只 有 在 无 线 工 作 站 被 认证 后 ,认为 是 合法 用 户 
时 才 打 开 , 通 过 该 端口 对 合法 用 户 提供 网 络 服务 ; 不 可 控制 端口 一 直 处 于 打开 状态 ,对 所 有 
的 网 络 流量 进行 过 滤 只 让 建立 认证 的 数据 包 通 过 , 即 EAPOL 数据 包 。 这 种 双 端口 模式 对 
不 支持 802. 1x 标准 用 户 具 有 兼容 性 ; 通过 设置 一 个 管理 项 可 允许 它们 的 流量 通过 不 可 控 
制 端口 。 

802. 1x 标准 的 另 一 个 重要 组 成 部 分 是 认证 服务 器 AS。 认 证 端 Cauthenticator) 充 当 申 
请 者 和 认证 服务 器 AS 之 间 的 EAP 代理 ,也 就 是 说 ,认证 端 接收 来 自 申 请 者 的 EAPOL 数 
据 包 , 然 后 把 EAP 数据 包 通 过 例如 RADIUS 等 高 层 协议 转发 给 AS, 同 时 它 把 所 有 来 自 AS 
的 EAP 数据 包 通 过 EAPOL 协议 转发 给 申请 者 。 通 过 这 种 方法 AS 对 申请 者 进行 认证 , 认 
证 通过 后 产生 一 个 共享 会 话 密 钥 ,同时 并 把 认证 结果 和 会 话 密 钥 发 送 到 认证 端 。 


7.4.4 IEEE 802.11i 


为 了 解决 WLAN 技术 自身 存在 的 安全 上 的 缺陷 ,给 无 线 用 户 提 供 足 够 的 安全 保护 ， 
IEEE 802. 11 的 i 工作 组 致力 于 制订 被 称 为 IEEE 802. 11i 的 新 一 代 安 全 标准 ,这 种 安全 标 
准 为 了 增强 WLAN 的 数据 加 密 和 认证 性 能 ,定义 了 RSNCRobust Security Network) 的 概 
念 ,并 且 针 对 WEP 加 密 机 制 的 各 种 缺陷 做 了 多 方面 的 改进 。 

802. 11i 草案 的 目标 是 实现 数据 机 密 性 、 身 份 识别 、 接 入 控制 、 抗 重 放 攻 击 和 数据 完整 
性 校 验 。 其 中 ,机 密 性 和 数据 完整 性 校 验 以 及 抗 重 放 攻 击 由 TKIP 算法 或 者 基于 AES 的 算 
法 一 次 性 实现 。 

IEEE 802. 11i 规定 使 用 802. 1x 认证 和 密 钥 管理 方式 ,在 数据 加 密 方面 ,定义 了 TKIP 
(Temporal Key Integrity Protocol) ,CCMP(Counter-Mode/CBC-MAC Protocol) fll WRAP 
(Wireless Robust Authenticated Protocol) 三 种 加 密 机 制 。 其 中 TKIP 采用 WEP 机 制 里 的 
RC4 作为 核心 加 密 算 法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 程序 的 方法 达到 提高 
WLAN 安全 的 目的 。CCMP 机 制 基于 AESCAdvanced Encryption Standard) 加 密 算法 和 
CCM(Counter-Mode/CBC-MAC) 认 证 方式 .是 实现 RSN 的 强制 性 要 求 。 由 于 AES 对 硬件 
要 求 比较 高 ,因此 CCMP 无 法 通过 在 现 有 设备 的 基础 上 进行 升级 实现 。WRAP 机 制 基 于 
AES 加 密 算法 和 OCB(Offset Codebook) ,是 一 种 可 选 的 加 密 机 制 。 

到 目前 为 止 ,802. 11i 中 可 以 认为 加 密 、 完 整 性 校 验 和 抗 重 放 攻 击 等 已 经 基本 固定 。 但 
是 在 身份 识别 和 密 钥 管理 这 一 部 分 ,以 及 和 其 他 协议 (802. 116,802. 1x) 的 融合 这 一 部 分 还 
会 发 展 。 


7.4.5 WPA 


WPACWi-Fi Protected Access) 推 出 之 前 ,802. 11 标准 存在 的 安全 缺陷 已 被 广泛 关注 ， 
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而 正在 制定 中 的 802. 11i 要 到 2003 年 底 和 2004 年 初 之 间 才 能 完成 最 终 的 标准 化 工作 。 市 
场 对 于 提高 WLAN 安全 的 需求 是 十 分 紧迫 的 ,IEEE 802. 111 的 进展 并 不 能 满足 这 一 需要 。 
在 这 种 情况 下 , Wi-Fi 联盟 制定 了 WPACWi-Fi Protected Access) 标 准 。 这 一 标准 采用 了 
IEEE 802. 11i 的 草案 ,保证 了 与 未 来 出 现 的 协议 的 前 向 兼容 。 

WPA 采用 了 802. 1x 和 TKIP 来 实现 WLAN 的 访问 控制 、 密 钥 管 理 与 数据 加 密 。 
WPA 系统 在 工作 的 时 候 , 先 由 AP 向 外 公布 自身 对 WPA 的 支持 ,在 Beacons/Probe 
Response 等 报 文中 使 用 新 定义 的 WPA 信息 元 素 (Information Element) ,这 些 信息 元 素 中 
包含 了 AP 的 安全 配置 信息 (包括 加 密 算 法 和 安全 配置 等 信息 )。STA 根据 收 到 的 信息 选 
择 相 应 的 安全 配置 ,并 将 所 选择 的 安全 配置 表示 在 其 发 出 的 Association Request 和 Re- 
Association Request 报 文 中 。WPA 通过 这 种 方式 来 实现 STA 与 AP 之 间 的 加 密 算法 以 及 
密 钥 管理 方式 的 协商 。 

支持 WPA 的 AP 工作 需要 在 开放 系统 认证 方式 下 ,STA 以 WPA 模式 与 AP 建立 关 
联 之 后 ,如 果 网 络 中 有 RADIUS 服务 器 作为 认证 服务 器 ,那么 STA 就 使 用 802. 1x 方式 进 
行 认 证 ; 如 果 网 络 中 没有 RADIUS, STA 与 AP 就 会 采用 预 共 享 密 钥 (Pre-Shared Key, 
PSK) 的 方式 。STA 通 过 了 802.1x 身份 验证 之 后 ,AP 会 得 到 一 个 与 STA 相同 的 Session 
Key, AP 与 STA 将 该 Session Key 作为 PMK(Pairwise Master Key, 对 于 使 用 预 共 享 密 角 
的 方式 来 说 ,PSK 就 是 PMK)。 随 后 AP 与 STA 通过 EAPOIrKEY 进行 WPA 的 四 次 握手 
(4-Way Handshake) 过 程 ,如 图 7-6 所 示 。 


(D AP 将 Anonco 发 给 STA 
s " (9) 
(2) STA 将 Anonco 发 给 AP， 带 有 MIC = 
LD pn -对 一 密 钥 ， 带 有 MIC 
STA AP 


@ STA 相 应 ， 四 次 握手 结束 


7-6 AP 5 STA 的 四 次 握手 


在 这 个 过 程 中 ,AP 和 STA 均 确 认 了 对 方 是 否 持 有 与 自己 一 致 的 PMK, 如 果 不 一 致 ,四 次 
握手 过 程 就 告 失败 。 为 了 保证 传输 的 完整 性 ,在 握手 过 程 中 使 用 了 名 为 MIC (Message 
Integrity Code) 的 检验 码 。 在 四 次 握手 的 过 程 中 ,AP 与 STA 经 过 协商 计算 出 一 个 512 位 
的 PTK(Pairwise Transient Key) ,并 将 该 PTK 分 解 成 为 五 种 不 同 用 途 的 密 钥 ,如 图 7-7 
所 示 。 

其 中 前 128 位 用 做 计算 和 检验 EAPOLKEY 报 文 的 MIC 的 密 钥 ,随后 的 128 位 作为 加 
密 EAPOL-KEY 的 密 钥 ; 接 下 来 的 128 位 作为 AP 与 该 STA 之 间 通 信和 的 加 密 密 钥 的 基础 
密 钥 ( 即 由 该 密 钥 再 经 过 一 定 的 计算 后 得 出 的 密 钥 作 为 二 者 之 间 的 密 钥 ): 最 后 两 个 64 位 
的 密 钥 分 别 作 为 AP 与 该 STA 之 间 报 文 的 MIC 计算 和 检验 密 钥 。 

由 PTK 分 解 出 来 的 这 一 组 (五 个 ) 密 钥 是 AP 与 该 STA 之 间 使 用 的 密 钥 (所 以 也 叫 
每 用 户 密 钥 ,用 于 AP 与 STA 之 间 的 单 播报 文 的 加 密 )。 在 确认 双方 所 持 的 PMK 一 臻 
后 ,AP 会 根据 自身 是 否 支持 每 用 户 密 钥 的 能 力 来 指示 STA 是 否 安 装 并 使 用 这 个 每 用 户 
aj. 
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Pairwise Transient Key(PTK, 512 位 ) 


EAPOL-KEY | EAPOL-KEY Temporal 计算 发 送 报 文 | 计算 接收 报 文 
计算 MIC 的 密 | IN |Encryption KEY | 的 MIC 的 密 | 的 MIC 的 密 
钥 (128 位 ) (128 位 ) (128 位 ) 钥 (64 位 ) 钥 (64 位 ) 
新 的 报 文 密 钥 
RC4 加 密 Michael Michael 


图 7-7 PTK 的 产生 过 程 


为 了 使 现 有 的 设备 能 够 通过 软件 /固件 升级 实现 WPA ,协议 规定 AP 可 以 不 采用 PTK 
方式 ,而 是 利用 下 面 将 要 描述 的 GTK 作为 AP 向 STA 发 送 单 播报 文 时 的 密 钥 。 如 果 AP 
通知 STA 安装 并 使 用 PTK ,那么 STA 在 向 AP 发 送 一 个 EAPOL-KEY 相应 报 文 后 ,再 把 
相应 的 密 钥 安装 到 无 线 网 卡 中 。 

四 次 握手 成 功 后 ,AP 要 生成 一 个 256 位 的 GTK(Group Transient Key), GTK 是 一 组 
全 局 加 密 密 钥 ,所 有 与 该 AP 建立 关联 的 STA 均 使 用 相同 的 GTK,AP 用 这 个 GTK 来 加 
密 所 有 与 它 建立 关联 的 STA 的 通信 报 文 ,STA 则 使 用 这 个 GTK 来 解密 由 AP 发 送 的 报 文 
并 检验 其 MIC。 该 密 钥 可 以 分 解 为 三 种 不 同 用 途 的 密 钥 ,最 前 面 的 128 位 作为 构造 全 局 
“每 报 文 密 钥 ”(per-packet encryption key) 的 基础 密 钥 (base key) ,后 面 的 两 个 64 位 的 密 钥 
分 别 作为 计算 和 检验 WPA 数据 报 文 的 WIC 的 密 钥 。AP 使 用 EAPOI-KEY 加 密 密 钥 将 
GTK 加 密 并 发 送 给 STA ,并 指明 该 GTK 是 否 允 许 STA 用 作 发 送 报 文 所 使 用 ,STA 成 功 
接收 到 该 报 文 , 将 GTK 解密 后 ,向 AP 发 送 应 答 报 文 , 并 根据 AP 所 指示 的 Key Index 将 其 
安装 无 线 网 卡 的 相应 位 置 , 如 果 AP 使 用 GTK 作为 向 某 一 STA 单 播 传输 的 密 钥 , 则 该 
STA 也 需要 使 用 GTK 作为 向 AP 发 送 单 播报 文 的 密 钥 。TK IP 并 不 直接 使 用 由 PTK/ 
GTK 分 解 出 来 的 密 钥 作为 加 密 报 文 的 密 钥 ,而 是 将 该 密 钥 作为 基础 密 钥 (3Base Key) ,经 过 
两 个 阶段 的 密 钥 混合 过 程 ,从 而 生成 一 个 新 的 每 一 次 报 文 传输 都 不 一 样 的 密 钥 ,该 密 钥 才 是 
用 做 直接 加 密 的 密 钥 。 通 过 这 种 方式 可 以 进一步 增强 WLAN 的 安全 性 。 密 钥 的 生成 方式 
如 图 7-8 所 示 。 


基础 密 钥 传输 地 址 Iv 
(128Bit) (48Bit) (48Bit) 
第 一 阶段 密 钥 混合 
i 
第 二 阶段 密 钥 混合 
(128Bit) 


78 WPA 最 终 密 钥 生 成 过 程 
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在 WPA 中 ,AP 支持 WPA 和 WEP 无 线 客户 端的 混合 接 入 。 但 是 在 混合 接 入 的 时 候 ， 
所 有 WPA 客户 端 所 使 用 的 加 密 算法 都 得 使 用 WEP, 这 就 降低 了 WLAN 的 整体 安全 性 。 
尽管 WPA 在 安全 性 方面 相 比 WEP 有 了 很 大 的 改善 和 加 强 , 但 Wi-Fi 联盟 承认 目前 使 用 
KIP 的 WPA 只 是 一 个 临时 的 过 渡 性 方案 。 


7.4.6 WAPI 协议 


除了 国际 上 的 IEEE 802. 11i 和 WPA 安全 标准 之 外 ,我 国 也 发 布 了 在 2003 ^F 12 H 1 
日 起 强制 执行 的 WLAN 国家 标准 。 此 标准 的 一 个 重要 组 成 部 分 就 是 由 宽带 无 线 IP 标准 
工作 组 制定 的 新 的 安全 机 制 一 一 无 线 局 域 网 鉴别 和 保密 基础 结构 (WLAN Authentication 
and Privacy Infrastructure. WAPI), WAPI 由 WAI (WLAN Authentication Infrastructure) 和 
WPICWLAN Privacy Infrastructure) 两 部 分 组 成 ,分 别 实现 对 用 户 身 份 的 鉴别 和 对 传输 的 
数据 加 密 。WAPI 采用 公开 密 钥 密码 体制 ,利用 证 书 来 对 WLAN 系统 中 的 STA 和 AP 3t 
行 认证 ,其 工作 原理 如 图 7-9 所 示 。 

MT AP 其 他 网 络 设备 ”ASU 认证 服务 单元 


Ap 激活 MT 认证 
MIT 发 送 认 证 请 求 AP 发 送 证 
书 认证 请 求 ,| 
Pi ASU 返 回 证 
9 NETUS 
证 AP 应 答 
过 MP 接 入 请 求 认证 
程 
私 钥 验 证 

通 
过 访问 网 络 资源 
程 


7-9 WAPI 工 作 原 理 


整个 系统 由 移动 终端 MT (Mobile Terminal ), AP 和 认证 服务 单元 ASU( Authentication 
Service Unit) 组 成 ,ASU 用 于 管理 参与 信息 交换 各 方 所 需要 的 证 书 ( 包 括 证 书 的 产生 、 颁 
发 .吊销 和 更 新 )。 证 书 里 面包 含有 证 书 颁发 者 的 公 钥 和 签名 以 及 证 书 持 有 者 的 公 钥 和 签名 
(采用 WAPI 特有 的 椭圆 曲线 数字 签名 算法 ), 是 网 络 设 备 的 数字 身份 凭证 。WAPTI 的 工作 
原理 如 下 : 

CD 认证 激活 。 当 移动 终端 MT 登录 到 AP 时 ,由 AP 向 MT 发 送 认 证 激活 以 启动 整 
个 认证 过 程 。 

(2) 接 入 认证 请 求 。MT 向 AP 发 送 接 入 认证 请 求 , 即 将 MT 证 书 与 MT 的 当前 系统 
时 间 发 往 AP, 其 中 系统 时 间 称 为 接 入 认证 请 求 时 间 。 

(3) 证 书 认证 请 求 。AP 收 到 MT 接 入 认证 请 求 后 ,向 ASU 发 送 证书 认 证 请 求 , 即 将 
MT 证 书 、 接 人 认证 请 求 时 间 、AP 证 书 并 利用 AP 的 私 钥 对 它们 签名 构成 证 书 认证 请 求 发 
送 给 ASU。 
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(4) 证 书 认证 响应 。ASU 收 到 AP 的 证 书 认 证 请 求 后 ,验证 AP 的 签名 以 及 AP 和 MT 
证 书 的 合法 性 。 验 证 完毕 后 ,ASU 将 MT 证 书 认证 结果 信息 (包括 MT 证 书 、 认 证 结果 及 
ASU 对 它们 的 签名 ) AP 证 书 认证 结果 信息 (包括 AP 证 书 、 认 证 结果 、 接 入 认证 请 求 时 间 
Be ASU 对 它们 的 签名 ) 构 成 证 书 认证 响应 报 文 发 回 给 AP。 

(5) 接 入 认证 响应 。AP 对 ASU 返回 的 证 书 认 证 响应 进行 签名 验证 ,得 到 MT 证 书 的 
认证 结果 。AP 将 MT 证 书 、 认 证 结果 信息 、AP 证 书 认 证 结果 信息 以 及 AP 对 它们 的 签名 
组 成 接 入 认证 响应 报 文 回 送 至 MT. MT 验证 ASU 的 签名 后 ,得 到 AP 证 书 的 认证 结果 。 
MT 根据 应 该 认证 结果 决定 是 否 接 入 该 AP。 

(6) 私 钥 验 证 请 求 。AP 和 MT 都 需要 确认 对 方 是 否 是 证 书 的 合法 持 有 者 , 私 钥 验 证 请 
求 包含 实 时 产生 的 随机 数 , 请 求 对 方 对 其 签名 ,以 验证 对 方 是 否 拥 有 该 证 书 的 私 钥 。 该 请 求 
可 由 AP 或 MT 发 起 。 

(7) 私 钥 验证 响应 。 包 含 对 私 钥 验证 请 求 中 随机 数据 的 签名 ,提供 自己 是 证 书 合法 持 
有 者 的 证 明 。 

(8) 至 此 MT 和 AP 之 间 完 成 了 证 书 认证 过 程 。 若 认证 成 功 , 则 AP 允许 MT 接 入 , 否 
则 解除 其 登录 。 

由 于 采用 了 双向 认证 ,所 以 不 仅 可 以 防止 非法 移动 终端 MT 接 人 AP 而 访问 网 络 并 占 
用 网 络 资源 ,而 且 可 以 防止 移动 终端 MT 登录 至 非法 AP 而 造成 信息 泄漏 。 另 外 会 话 密 钥 
并 没有 在 信息 上 进行 传输 ,因此 就 增强 了 其 安全 性 。 为 了 进一步 提高 通信 的 保密 性 , WAPI 
还 规定 ,在 通信 一 段 时 间或 者 交换 一 定数 量 的 数据 之 后 ,STA 和 AP 之 间 可 以 重新 协商 会 
话 密 钥 。 

WAPI 具有 以 下 重要 特点 : 

CD. 全 新 的 高 可 靠 性 安全 认证 与 保密 体制 ,更 可 靠 的 链 路 层 以 下 安全 系统 ,完整 的 “用 
户 一 接 入 点 ”双向 认证 ,集中 式 或 分 布 集中 式 认证 管理 ,证 书 一 密 钥 双 认证 ,灵活 多 样 的 证 书 
管理 与 分 发 体制 ,可 控 的 会 话 协商 动态 密 钥 ,高 强度 的 加 密 算 法 ,可 扩展 或 升级 的 全 嵌入 式 
认证 与 算法 模块 ,支持 带 安全 的 越 区 切换 。 

(2) 支持 SNMP 网 络 管理 ,符合 “国家 商用 密码 管理 条 例 ”。 

(3) WAPI 从 应 用 模式 上 分 为 单 点 式 和 集中 式 两 种 ,充分 考虑 了 市 场 应 用 。 单 点 式 主 
要 用 于 家 庭 和 小 型 公司 的 小 范围 应 用 ; 集中 式 主要 用 于 热点 地 区 和 大 型 企业 。 


7.5 小 结 


本 章 首 先 对 无 线 局 域 网 进行 了 概述 ,介绍 了 无 线 局 域 网 的 协议 栈 、 组 成 .拓扑 结构 以 及 
无 线 局 域 网 的 应 用 及 发 展 趋势 。 接 下 来 针对 无 线 局 域 网 存在 的 安全 风险 进行 了 分 析 , 指 出 
当前 无 线 局 域 网 面临 的 安全 风险 以 及 针对 无 线 局 域 网 的 攻击 手段 ; 并 展开 了 对 安全 需求 分 
析 , 讨 论 了 在 审计 、 认 证 和 保密 这 三 方面 的 安全 需求 的 情况 。 接 下 来 的 章节 介绍 了 无 线 局 域 
网 的 安全 技术 以 及 安全 协议 。 无 线 局 域 网 安全 是 一 个 不 断 改 善 和 升级 的 过 程 ,当前 无 线 局 
域 网 所 采用 的 安全 技术 和 安全 协议 在 实际 使 用 中 仍然 存在 一 定 的 缺陷 ,对 这 方面 的 改进 及 
研究 方兴未艾 。 
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摘要 : LAX Mesh 网 络 是 一 种 多 跳 \, 具 有 自 组 织 和 自 僵 特 点 的 网 络 , 是 近 
年 来 发 展 迅速 的 宽带 无 线 通信 网 络 ,但 它 在 发 展 的 同时 ,又 面临 着 许多 安全 
问题 。 本 章 首先 对 无 线 Mesh 网 络 进行 了 概述 ,然后 对 无 线 Mesh 网 络 的 安 
全 风险 和 安全 需求 进行 了 分 析 , 最 后 重点 阐述 了 基于 MSA 协议 的 安全 协议 
及 相关 技术 。 

关键 字 : LA Mesh 网 络 、 安 全 风险 、 安 全 需求 、 安 全 技术 、 安 全 协议 。 


8.1 无 线 Mesh 网 络 概述 


8.1.1 无 线 Mesh 网 络 基本 概念 


目前 主要 观点 认为 ,无 线 Mesh 网 络 是 一 种 多 跳 . 具 有 自 组 织 和 自 愈 特点 
的 宽带 无 线 网 络 ,无 线 Mesh 网 络 是 一 种 由 无 线路 由 器 和 终端 设备 组 成 的 静 
态 无 线 网 络 ,是 Internet 的 无 线 版 本 中 。 

按照 体系 结构 划分 ,无 线 Mesh 网络 可 以 分 为 三 种 轨 : 主干 网 结构 ,终端 
组 网 结构 和 混合 结 

1. 主干 网 结构 

在 无 线 Mesh 网 络 主干 网 结构 中 ,网络 中 的 MR(Mesh Router, 网 状 网 络 
客户 端 ) 互 联 构成 了 骨干 网 络 ,如 图 8-1 所 示 。 这 些 MR 可 以 分 为 两 种 ,一 种 
是 具有 网 关 功 能 的 ,如 图 8-1 所 示 中 的 MR with Gateway/Bridge. 它 们 负责 
连接 终端 节点 ,实现 终端 节点 的 网 络 接 人 ,并 且 能 够 实现 不 同 标准 通信 子 网 
之 间 的 互联 ,如 无 线 局 域 网 .传感器 网 络 .蜂窝 通信 网 等 ,同时 部 分 具有 网 关 
功能 的 路 由 器 还 负责 连接 Internet, 使 得 网 络 中 各 个 节点 能 够 访问 Internet 
资源 。 另 一 种 路 由 器 是 不 具备 网 关 功 能 的 ,它们 只 负责 数据 的 转发 ,如 图 8-1 
所 示 中 的 普通 MR 节点 。 

这 种 主干 网 结构 的 无 线 Mesh 网 络 是 目前 应 用 较为 广泛 的 一 种 体系 结 
构 ,MR 一 般 被 部 署 在 屋顶 或 者 较 高 建筑 物 上 ,其 射频 器 件 一 般 分 为 两 类 : 其 
中 发 送 半 径 较 短 的 射频 器 件 用 于 与 终端 用 户 连接 ; 发 送 半 径 较 大 的 射频 器 件 
(如 方向 天 线 ) 用 于 骨干 节点 之 间 的 数据 传输 。 
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图 8-1 无 线 Mesh 网 络 主干 网 结构 


2. 终端 自 组 网 结构 

终端 自 组 网 结构 的 无 线 Mesh 网 络 由 对 等 的 终端 节点 组 成 ,如 图 8-2 所 示 。 在 该 网 络 
中 ,节点 通过 自 组 织 , 自 配置 方式 组 网 ,为 终端 用 户 提供 端 到 端的 服务 。 因 此 在 这 种 结构 中 
是 不 需要 MR 的 。 


8-2 A Mesh 网 络 终端 自 组 网 结构 


在 终端 自 组 网 结构 的 无 线 Mesh 网 络 中 , 当 源 节点 发 送 数据 包 给 目的 节点 时 ,数据 包 通 
过 多 跳 的 方式 传送 ,中 间 节 点 负责 路 由 和 数据 的 转发 ,其 功能 相当 于 路 由 器 。 可 以 说 ,这 种 
组 网 结构 实际 上 等 同 于 Ad hoc 网 络 ,但 在 移动 性 上 仍 有 所 不 同 。 

3. 混合 结构 

如 图 8-3 所 示 ,混合 结构 的 无 线 Mesh 网 络 是 主干 网 结构 和 终端 自 组 网 结构 的 有 机 结 
合 。MC(Mesh Client, 网 状 终端 ) 可 以 通过 MR 实现 网 络 的 接 入 ,也 可 以 通过 其 他 MC 多 跳 
转发 实现 接 入 。 

混合 结构 的 无 线 Mesh 网 络 拥 有 更 广 的 应 用 范围 和 更 好 的 适应 性 。 例 如 在 紧急 救援 行 
动 中 ,救援 人 员 既 可 以 用 随身 携带 的 MC 临时 组 网 ,相互 之 间 进 行 通信 ,又 能 够 及 时 地 将 救 
援 行 动 中 的 重要 数据 通过 Internet 发 送 到 总 部 。 
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图 8-3 无线 Mesh 网 络 混合 结构 


8.1.2 无 线 Mesh 网 络 标准 化 与 产品 化 进展 


1. 无 线 Mesh 网 络 的 标准 化 进展 

鉴于 无 线 Mesh 网 络 的 迅速 发 展 , 许 多 国际 标准 化 组 织 都 积极 考虑 在 各 种 无 线 网 络 标 
准 中 加 入 对 Mesh 组 网 方式 的 支持 。 

IEEE 802. 16 标准 组 在 2003 4E 4 月 颁布 的 IEEE 802. 16a 宽带 无 线 城 域 网 标准 中 设计 
了 对 点 到 多 点 和 Mesh 两 种 拓扑 结构 的 支持 。 由 于 WiMAX 技术 可 以 在 创建 大 范围 无 线 回 
程 网 络 中 应 用 , 故 在 其 Mesh 模式 中 应 用 了 基于 回程 的 WiMAX 。 

到 目前 为 止 ,802. 15. 1 一 802. 15. 4 本 质 上 均 不 能 直接 支持 网 状 网 络 结构 ,而 只 是 
P2MP(Point to Multiple Point, 点 到 多 点 ) 方 式 下 的 微微 网 结构 ,但 散射 网 已 经 有 了 无 线 
Mesh 网 络 的 外形 中 。 正 在 制定 过 程 的 802. 15. 5 标准 继承 了 802. 15. 1 一 802. 15. 4 的 基本 
思想 , 且 完 全 支持 网 状 结构 和 移动 性 管理 ,其 目标 是 利用 短 距离 , 低 成 本 的 设备 以 Mesh 组 
网 的 方式 去 覆盖 一 个 较 大 的 环境 ,如 客厅 、 校 园 、 医 院 等 。 

传统 的 802. 11 MAC 层 协议 的 固有 属性 并 不 支持 网 状 连 接 , 使 得 网 络 性 能 在 多 跳 情 况 
下 很 差 。 为 此 ,IEEE 成 立 802. 11s 子 工作 组 ,制定 标准 化 的 扩展 服务 集 (ESS)5 ,专门 为 
无 线 Mesh 网 络 定义 MAC/ 物 理 层 协议 及 其 上 层 的 无 线 分 布 式 系统 的 协议 ,以 便 使 无 线 局 
域 网 的 多 个 AP 之 间 能 够 通过 自动 配置 拓扑 来 组 网 。 

此 外 ,国际 电信 联盟 ITU)、3GPP 以 及 IETF 等 机 构 也 将 无 线 Mesh 网 络 纳入 到 工作 
计划 中 ,这 些 组 织 结构 的 标准 化 工作 必 将 进一步 推动 无 线 Mesh 网 络 技 术 的 研究 、 应 用 和 
推广 。 

2. 无 线 Mesh 网 络 的 商业 产品 化 进展 

作为 一 种 新 兴 的 网 络 形态 ,无 线 Mesh 网 络 可 应 用 于 很 多 领域 ,其 应 用 方式 主要 有 无 线 
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TEA .无线 传输 和 简单 组 网 。 面 对 无 线 Mesh 网 络 的 迅速 发 展 , 一 些 致力 于 其 开发 和 应 用 的 
公司 ,如 美国 的 Mesh 网 络 、 加 拿 大 的 Nortel 等 ,都 推出 了 自己 的 无 线 Mesh 网 络 设备 和 相 
应 的 组 网 技术 ,并 已 应 用 这 些 设备 和 技术 成 功 地 解决 了 一 些 热点 地 区 的 无 线 接 入 问题 ,其 中 
比较 成 功 的 解决 方案 主要 有 : 俄勒冈 警察 局 设计 的 应 急 通 信和 方案 (Mesh 网 络 )、 英 格 兰 
Portal 智能 交通 系统 提供 的 应 用 方案 、Nortel 设计 的 移动 城市 应 用 方案 等 。 

除了 Mesh 网 络 和 Nortel, 目 前 的 无 线 Mesh 设备 和 解决 方案 的 提供 者 主要 还 有 
Skypilot、Tropos、BelAir、Firetide 和 RadiantNetwork 等 公司 。 对 于 这 7 家 公司 的 产品 比较 
如 表 8-1 所 示 , 从 物理 层 /MAC 层 技术 来 说 ,大 多 数 产品 选择 了 直接 沿用 802. 11 系列 的 物 
FUE A MAC 层 规 范 ,工作 频段 基本 上 为 2. 4/5. 8GHz; 从 路 由 协议 来 看 ,二 层 路 由 和 三 层 
路 由 比例 相当 ; 产品 的 覆盖 范围 取决 于 该 产品 的 用 途 , 一 般 用 于 主干 网 和 室外 的 节点 覆盖 
范围 远大 于 室内 的 节点 覆盖 范围 ; 另外 ,可 以 发 现 目前 商业 产品 对 QoS 的 支持 并 不 是 很 普 
遍 , 只 有 一 半 左 右 的 产品 支持 。 

表 8-1 主要 的 无 线 Mesh 网 络 商业 产品 比较 [9 


产品 名 称 | 公司 e| MM oy | TAM |MAC 协 议 | 路 由 位 置 | Rs 

Skypilot Skypilot | >3 IEEE 802. 11a | 5. 8 32/6. 4km Skypilot | 第 2 层 Diff 

System (美国 ) (LOS/NLOS) | 同步 协议 Serv 

Tropos Tropos | 0.512-1 | IEEE 802. 11b | 2. 4 4. 15km/290m | 802.11 |48 2/3 Æ 

5110/3110 | (美国 ) (室外 /室内 ) | MAC PWRQ 

MEA Mesh 1.5-6 QDMA 2.4 1. 6km 多 信道 ”| 第 2 层 | Diff 
Networks (NLOS) MAC MSR Serv 
(美国 ) 

BelAir BelAir |>1 IEEE 802. 11b 500/100m 802. 11 

200/100 | (加 拿 大 ) /e/a 2.4/5.8) Exe [mac |^ 2/3 | 28 

Wireless Nortel 2 IEEE 802. 11b lkm/100m 802.11 第 2 层 / 

APO 。 | (加 拿 大 ) lela 2.4/5.8) (主干 /用 户 | MAC 

Hotpoint Firetide | >1 IEEE 802. 11b | 2. 4 3km/200m 802.11 第 3 层 p 

1000 (美国 ) (室外 /室内 ) | MAC 

MESH Radiant- |>4 QPSK/QAM |5.8 2km( 室 外 ) |/ ATM ATM 

WORKS Network QoS 
(英国 ) 


8.1.3 无 线 网 状 网 络 与 现 有 无 线 技术 比较 


现 有 的 网 络 技术 层出不穷 ,无 线 网 状 网 络 能 够 在 其 中 成 为 新 一 轮 的 研究 热点 是 由 它 本 
身 的 特点 和 未 来 网 络 发 展 的 方向 所 决定 的 。 表 8-2 对 无 线 网 状 网 络 移动 Ad hoc 网 络 以 及 
蜂窝 网 络 做 了 比较 ,无 线 网 状 网 络 的 优 缺 点 一 目 了 然 。 

由 于 无 线 网 状 网 络 是 基于 Ad hoc 网 络 发 展 而 来 的 ,所 以 两 者 的 密切 关系 也 值得 探究 ， 
两 者 在 内 部 系统 上 保持 了 相当 的 一 致 性 .二 者 具有 以 下 共同 点 : 

(1) 网 络 的 自 组 性 。 人 们 对 于 互联 需求 的 不 断 提升 ,任何 时 间 、 任 何 地 点 .任何 方式 的 
连接 需求 要 求 网 络 必须 能 自动 地 面 对 所 有 可 能 的 问题 。 


125 


第 8 章 ，” 无 线 Mesh 网 络 的 安全 
表 8-2 无线 网 状 网 络 与 其 他 网 络 比较 
比较 项 无 线 网 状 网 络 移动 Ad hoc 蜂窝 网 络 
拓扑 结构 多 点 到 多 点 (网 状 ) 动态 拓扑 点 到 多 点 
控制 方式 分 布 式 控制 分 布 式 控制 集中 式 控制 
覆盖 范围 城 域 覆盖 局 部 范围 覆盖 广大 地 区 
设计 目的 用 户 接 人 为 主 用 户 间 通信 为 主 接 入 和 通信 同时 
容纳 用 户 数 多 较 少 非常 多 


(2) 有 限 的 无 线 传输 带宽 ,无 线 技术 相对 有 线 技术 易 受 干扰 的 特性 ,使 得 在 传输 速率 上 
可 能 会 形成 较 大 的 差异 ,而 且 多 个 会 话 同时 占用 信道 导致 速率 波动 更 加 明显 。 

(3) 多 跳 通 信和 方式 ,这 一 点 作为 和 传统 集中 式 网 络 结构 最 大 的 不 同 点 ,要 求 各 接 入 AP 
的 地 位 互相 平等 ,可 以 在 任何 情况 下 选择 最 优 路 径 , 而 不 会 出 现 竞 争 的 延迟 ,同时 降低 节点 
功率 达到 节能 效果 。 

无 线 网 状 网 络 与 移动 Ad hoc 网 络 最 大 的 区 别 有 以 下 两 点 : 

(1) 无 线 网 状 网 络 比 移动 Ad hoc 网 络 的 要 低 ,网 络 拓扑 变化 没有 那么 频繁 ,在 一 段 时 
间 内 可 以 认为 是 静止 的 。 

(2) 移动 Ad hoc 网 络 中 的 业务 流量 主要 是 来 源 于 各 个 终端 之 间 的 通信 ,而 无 线 网 状 网 
络 中 的 业务 主要 是 和 Internet 通信 。 


8.2 安全 风险 与 安全 需求 


IEEE 802.11(WLAN) .802.15(WPAN) 和 802. 16(WMAN) 是 当今 主要 标准 , 故 WMNs 
的 部 署 也 基本 可 分 为 三 种 : 802.11 Mesh、802.15 Mesh 和 802. 16 Mesh。 由 于 无 线 局 域 网 
Mesh 网 络 应 用 最 为 广泛 ,所 以 本 章 重 点 讨论 无 线 局 域 网 Mesh 网 络 的 安全 问题 。 


无 线 局 域 网 Mesh 网 络 常见 的 安全 威胁 


在 人 们 享受 无 线 网 络 所 带 来 的 便捷 性 的 同时 ,伴随 而 来 的 是 无 线 网 络 所 具有 的 安全 威 
Ws). WLAN Mesh 网 络 同样 如 此 ,而 且 Mesh 这 种 特性 还 会 招致 一 些 额 外 的 攻击 和 威胁 ， 
我 们 将 在 下 面 分 别 介 绍 。 

1. 窃听 ,监听 和 截取 

随 着 网 络 技术 的 不 断 发 展 , 窃 听 (sniffing) 已 经 从 网 络 通信 分 析 工 具 演变 成 了 网 络 攻击 
者 手中 的 利器 。 广 义 的 窍 听 涵盖 了 从 遍历 网 络 映射 目录 到 密码 获取 及 捕获 未 加 密 数 据 ,各 
种 形式 的 获取 未 授权 信息 行为 。 

这 种 偷 听 流 经 网 络 的 计算 机 通信 的 电子 形式 ,就 是 窍 听 。 在 有 线 网 络 中 ,最 先 部 署 设 置 
阶段 允许 网 络 中 的 每 一 台 机 器 看 到 其 他 机 器 通信 ,以 使 转发 器 和 集线器 可 以 将 整个 网 络 连 
接 在 一 起 ,而 对 于 攻击 者 来 说 ,只 要 连接 到 可 以 看 到 整个 网 络 通信 的 节点 上 ,就 可 以 轻松 获 
得 整个 网 络 的 所 有 通信 。 而 无 线 网 络 的 功能 特性 恰恰 与 最 先 部 署 阶段 的 集线器 和 转发 器 非 
常 相 似 。 对 于 监听 网 络 的 用 户 来 说 , 流 经 整个 通信 网 络 的 信息 都 是 可 见 的 ,监听 者 甚至 不 需 
要 连接 到 网 络 中 仍然 可 以 监听 到 那些 未 加 密 的 数据 。 对 于 无 线 Mesh 网 络 来 说 ,这 种 窃听 
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攻击 更 加 容易 和 危险 ,因为 在 任何 一 个 Mesh 节点 都 在 网 络 的 路 由 结构 中 起 着 作用 ,而 且 这 
种 作用 和 重要 性 随时 可 变 也 不 能 预先 确定 ,因此 对 于 安 管 人 员 来 说 无 法 预先 确定 对 于 网 络 
各 个 部 分 的 安全 保护 机 制 要 求 多 高 。 

保护 无 线 网 络 用 户 免 受 攻击 者 窃听 的 最 有 效 途径 就 是 对 所 有 在 可 能 被 监听 的 区 域 传输 
的 数据 包 进行 加 密 , 在 Mesh 网 络 中 ,也 要 一 套 完善 而 易于 使 用 的 加 密 机 制 。 

2. 欺骗 和 非 授权 访问 

最 常见 的 欺骗 攻击 手段 是 IP 欺骗 。 使 用 IP 欺骗 的 攻击 者 甚至 不 需要 详细 了 解 TCP/ 
IP 的 指示 , 现 有 的 模块 化 窗 体 界面 操作 工具 让 初学 者 同样 可 以 进行 极 具 威胁 的 欺骗 攻击 。 

欺骗 攻击 对 WMN 的 各 个 层次 构成 严重 的 威胁 。 如 果 没 有 足够 安全 的 用 户 身份 验证 ， 
在 网 络 层 ,泄密 的 节点 可 以 冒充 其 他 受信 任 的 节点 攻击 网 络 , 在 网 络 管理 的 范围 内 ,攻击 者 
可 以 获得 超级 用 户 权限 ,从 而 访问 配置 系统 ,在 服务 层次 ,一 个 恶意 的 用 户 甚 至 不 需要 适当 
的 证 书 就 可 以 拥有 经 过 授权 的 公 钥 ,这 对 某 些 安全 需求 来 说 几乎 是 毁灭 性 的 。 

成 功 假冒 造成 的 损失 非常 严重 。 一 个 恶意 用 户 可 以 冒充 任何 友好 节点 ,导致 整个 网 络 
拓扑 结构 混乱 到 不 可 识别 ,并 对 其 他 节点 或 者 服务 造成 永久 性 毁坏 。 对 付 欺骗 和 非 授 权 攻 
击 , 比 较 有 效 的 方式 是 外 部 身份 验证 资源 ,这 样 可 以 防止 非 授权 用 户 访问 无 线 网 络 及 其 连接 
的 资源 中。 

3. 网 络 接管 与 自 改 

攻击 者 可 以 通过 多 种 技术 接管 无 线 网 络 或 者 接管 会 话 过 程 。 因 为 在 很 多 情况 下 ,对 网 
络 本 身 甚至 管理 员 也 会 很 难 区 分 出 攻击 者 和 合法 用 户 的 不 同行 为 。 

在 WLAN Mesh 网 络 中 ,一 种 极 具 危 险 性 的 攻击 手段 就 是 使 用 假冒 Mesh 接 入 节点 
MAP) ,攻击 者 可 以 部 署 一 个 发 生 强 度 足够 大 的 MAP, 这 可 能 导致 终端 节点 无 法 辨认 
MAP 的 真 伪 , 并 使 用 恶意 MAP, 利 用 这 一 点 ,攻击 者 可 以 接收 到 身份 认证 请 求 和 来 自 终端 
节点 与 密 钥 相关 的 信息 。 

还 有 一 种 攻击 则 是 通过 ARP, 可 以 伪造 与 MAP 的 连接 ,假扮 目标 主机 ,所 有 试图 在 主 
机 上 部 署 SSH 的 用 户 将 被 连接 到 假冒 的 主机 上 ,在 用 户 进行 身份 验证 时 ,攻击 者 可 以 接受 
到 用 户 密码 信息 ,然后 一 个 经 验 丰 富 的 攻击 者 可 以 通过 转发 密 钥 给 真正 的 目标 节点 ,以 掩盖 
其 攻击 行为 不 被 用 户 发 现 。 

4. 拒绝 服务 攻击 

拒绝 服务 攻击 会 导致 节点 无 法 对 其 他 合法 的 节点 或 者 中 断 提供 所 需 的 正常 服务 。 在 物 
理 层 和 MAC 层 , 攻 击 者 通过 拥塞 无 线 信 道 干 扰 通 信 ; 在 网 络 层 ,攻击 者 破坏 路 由 信息 ,使 
网 络 无 法 互 连 ; 在 更 高 层 ,攻击 者 可 以 通过 伪造 使 高 层 服 务 陷入 无 验证 性 可 言 的 境地 。 

拒绝 服务 攻击 的 严重 性 取决 于 WMN 的 实际 应 用 环境 。 在 WMN 中 ,使 中 心 资源 溢出 
的 拒绝 服务 攻击 威胁 有 限 ; 相反 ,分 布 式 的 拒绝 服务 攻击 威胁 更 大 ,如 果 攻 击 者 计算 能 力 足 
够 强 ,带宽 足够 大 ,WMN 很 容易 阻塞 甚至 崩溃 。 

然而 ,对 WMN 更 严重 的 威胁 是 被 占领 的 MP 可 能 会 重新 配置 全 部 或 者 部 分 路 由 信 
息 ,这 在 前 面 已 经 提 及 过 ,从 而 造成 网 络 阻塞 ,具体 来 说 就 是 一 个 被 占领 的 MP 欺骗 相连 
MP, 从 而 导致 错误 路 由 信息 放射 状 外 延 ,从 而 阻止 其 他 节点 获得 已 改变 的 网 络 拓扑 信息 ， 
在 最 糟糕 的 情况 下 ,攻击 者 通过 改变 路 由 协议 ,使 整个 网 络 置 于 其 控制 下 。 
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5. 物理 攻击 

最 简单 的 攻击 手段 往往 也 就 最 直接 有 效 , 这 个 道理 同样 适用 于 黑客 ,许多 安全 管理 员 可 
能 认为 笔记 本 电脑 ,PDA, Web 电话 等 硬件 设备 丢失 并 不 会 对 网 络 本 身 造成 影响 ,但 黑客 认 
为 ,任何 具有 Web 功能 的 设备 都 是 非常 有 价值 的 ,因为 它 可 以 让 他 们 获得 重要 的 用 户 信息 ， 
身份 认证 信息 和 所 要 入 侵 的 网 络 的 必须 信息 。 

当 失 窃 的 网 络 设备 中 含有 被 盗用 户 的 网 络 访问 方式 的 信息 时 ,罪犯 就 可 以 通过 无 线 网 
络 访问 受 限 信息 ,如 果 被 盗 的 Laptop 中 包含 PGP 密 钥 环 信息 ,很 显然 利用 伪造 签名 可 以 进 
行 一 些 烈 的 社交 工程 攻击 ,以 及 破解 系统 中 的 加 密 文 件 和 数据 流 。 这 实际 上 和 破解 密 钥 环 
从 而 能 达到 的 攻击 性 是 几乎 一 致 的 ,而 所 需要 的 工作 量 却 有 天 壤 之 别 。 

WMN 中 ,MP 的 数量 要 远 远 多 于 集中 模式 下 的 AP, 每 个 Mesh 节点 肩负 着 重要 作用 
而 又 位 置 分 散 ,网 络 安全 管理 员 很 难保 护 到 所 有 的 MP ,而 使 攻击 者 有 可 乘 之 机 。 


8.2.2 WLAN Mesh 网 络 安全 需求 


对 于 8.2.1 节 中 列举 的 WLAN Mesh 网 络 攻击 方式 ,我 们 需要 一 些 专门 的 安全 技术 来 
防范 ,这 就 是 本 节 将 要 介绍 的 WLAN Mesh 网 络 安全 需求 9 ,这 些 安全 技术 在 其 他 无 线 网 
络 中 也 常常 被 应 用 ,为 了 适用 于 Mesh 网 络 , 有 些 地 方 还 是 要 做 相应 的 修改 。 下 面 分 别 
介绍 。 

1. 身份 认证 

身份 认证 可 以 有 效 防止 假冒 用 户 和 假冒 网 络 的 安全 威胁 。 其 他 的 安全 机 制 ,如 接 入 控 
制 和 数据 加 密 等 往往 构建 在 身份 真实 性 的 基础 之 上 ,因此 身份 认证 可 称 得 上 网 络 安全 的 第 
一 道 屏障 。 身 份 假冒 的 威胁 是 两 方面 的 ,一 方面 攻击 者 可 以 假冒 合法 用 户 骗 取 网 络 接 入 授 
权 , 另 一 方面 攻击 者 可 以 部 署 假 MAP 冒充 网 络 。 因 此 单单 网 络 对 用 户 身 份 的 认证 是 不 够 
的 ,必须 实现 网 络 和 用 户 的 双向 认证 。 

2. 授权 和 接 入 控制 

认证 (authentication) 和 授权 (authorization) 是 两 个 有 联系 但 又 相互 区 别 的 概念 ,认证 
解决 “你 是 谁 ? 的 问题 ,授权 决定 “你 能 做 什么 ”。 虽 然 大 部 分 情况 下 ,通过 认证 也 就 意味 着 获 
得 授权 ; 但 严格 说 起 来 ,两 者 并 不 是 一 回 事 。 接 入 控制 是 为 了 根据 用 户 的 身份 .角色 以 及 预 
订 服 务 等 对 用 户 能 访问 的 资源 进行 限制 ,常见 的 接 入 控制 机 制 如 在 路 由 器 上 创建 ACL 列 
表 等 。 在 WMN 中 ,路 由 信息 将 在 分 布 式 的 MP 上 分 散 分 布 ,所 以 如 何 处 理 这 些 授权 和 接 
入 控制 数据 库 将 是 另 一 种 方式 。 

3. 通信 数据 的 保密 性 

保密 性 保证 通信 数据 只 被 希望 的 接收 方 看 到 ,为 防止 恶意 者 的 窃听 ,应 该 采用 强壮 的 加 
密 算法 对 通信 数据 进行 加 密封 装 。 在 传统 的 WLAN 集中 模式 中 , 接 人 移动 终端 可 以 和 AP 
之 间 建 立 加 密 密 码 ,但 是 在 WMN 中 .分 布 式 的 MP 之 间 如 果 都 采用 同一 的 密码 ,将 极 大 地 
降低 安全 性 ,一 旦 有 一 处 被 攻破 .将 导致 整个 Mesh 网 络 的 数据 泄露 ; 如 果 两 两 MP 之 间 采 
不 用 的 加 密 密 码 ,那么 密码 的 数量 将 随 着 Mesh 网 络 的 规模 而 急剧 增加 ,不 仅 不 便于 存 
储 ,也 不 便于 管理 。 所 以 ,如何 制定 一 套 WMN 环境 中 的 密码 体系 ,如 何 管理 密码 也 需要 特 
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殊 的 方式 。 

4. 数据 和 信 令 的 完整 性 

对 报 文 数据 进行 完整 性 保护 是 保证 数据 真实 性 的 必要 手段 ,单纯 的 加 密 并 不 能 防止 数 
据 被 算 改 。 不 仅 用 户 通信 数据 ,网 络 控 制 信 令 也 要 防止 攻击 者 的 恶意 算 改 。 算 改 信 令 可 能 
给 网 络 造成 严重 的 后 果 。 同 保密 性 一 样 ,对 WMN 分 布 式 的 环境 也 需要 数据 传输 过 程 中 完 
整 性 密码 进行 特别 管理 。 

5. 数据 的 顺序 性 

报 文 的 顺序 性 属于 报 文 的 真实 性 的 一 个 方面 , 它 是 指 接收 方 必须 可 以 确定 收 到 的 报 文 
确实 按照 发 送 方 原 有 的 顺序 ,没有 被 删除 ,插入 、 重 放 和 重新 排列 等 。 

在 WMN 中 ,MP 之 间 可 以 相互 通信 ,这 种 复杂 的 通信 关系 必 将 导致 通信 的 数据 的 复杂 
性 ,对 顺序 性 的 要 求 也 会 激增 ,如 何 管理 好 MP 的 通信 模型 ,将 是 一 项 艰巨 的 任务 。 

6. 密 钥 管理 

密 钥 管理 是 由 于 数据 的 保密 性 和 完整 性 衍生 出 来 的 安全 需求 。 广 义 的 密 钥 管理 概念 包 
括 密 钥 的 产生 ,分 配 ,传递 ,保存 恢复、 销毁 等 ; 狭义 的 密 钥 管理 指 的 是 密 钥 协商 。 对 于 具 
有 多 个 节点 的 网 络 系统 来 说 ,有 效 的 密 钥 管理 机 制 是 必 不 可 少 的 。 首 先 ,对 于 稍 大 一 点 的 网 
络 , 要 对 所 有 的 用 户 采用 手工 的 方法 配置 密 钥 显得 不 切实 际 ; 其 次 ,如 果 没 有 集中 自动 的 密 
钥 更 新 机 制 ,人 们 会 因为 害怕 麻烦 而 不 再 更 新 密 钥 ,这 样 由 于 密 钥 不 能 及 时 老化 更 新 而 威胁 
到 通信 数据 的 安全 性 。 


8.3 无 线 局 域 网 Mesh 网 络 特 有 的 安全 问题 
前 面 列 举 了 WLAN Mesh 网 络 最 常见 的 安全 威胁 和 由 此 产生 的 安全 需求 ,这 些 在 其 他 


的 无 线 网 络 中 也 比较 常见 ,下 面 将 分 析 一 些 WLAN Mesh 网 络 特有 的 安全 问题 中 ,对 于 
WLAN 的 Mesh 模式 , 它 所 遭受 的 攻击 如 图 8-4 所 示 。 
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8-4 Mesh 网 络 攻击 示意 图 
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其 安全 威胁 分 为 STA 被 攻击 、MP 被 攻击 和 MAP 被 攻击 。 其 中 STA 被 攻击 与 WLAN 
基础 设施 结构 中 威胁 相同 , Mesh 模式 特有 的 威胁 在 于 MP 和 MAP 被 攻击 ,针对 这 两 种 
Mesh 节点 的 安全 问题 又 以 多 种 形式 存在 ,下 面 将 分 别 介绍 。 


8.3.1 决策 分 散 


WMN 中 的 决策 往往 是 分 散 的 ,许多 WMN 算法 依赖 于 所 有 节点 的 参与 合作 。 集 中 权 
力 结构 的 缺乏 意味 着 攻击 者 能 够 利用 这 些 弱 点 实施 新 型 的 ,用 于 破坏 写作 的 算法 进行 攻击 。 
与 传统 的 集中 式 WLAN 相 比 ,Mesh 网 络 的 每 一 个 MP 都 处 以 一 个 相对 来 说 比较 重要 的 地 
02 ,对 于 整体 网 络 的 认证 和 路 由 功能 发 挥 着 作用 ,这 种 相对 的 平等 性 将 导致 决策 的 分 
散 性 。 

对 于 这 种 安全 问题 ,我 们 可 以 考虑 设立 一 些 具 有 额外 决策 功能 的 MP 节点 ,这 些 MP 并 
不 需要 如 传统 WLAN 中 的 AP 的 复杂 功能 ,又 比 普 通 的 MP 多 了 一 些 附加 功能 。 


8.3.2 Mesh 网 络 认证 的 问题 


传统 的 WLAN ,用 户 节点 的 接 人 可 以 通过 AP 的 认证 ,但 是 对 于 Mesh 网 络 ,没有 一 个 
相对 集中 的 认证 节点 存在 ,而 且 , 由 于 Mesh 网 络 中 节点 的 相互 平等 性 ,要 实现 双向 认证 将 
意味 着 实现 一 个 全 网 络 的 连接 边 数 , 才 能 保证 任何 一 个 Mesh 节点 对 于 其 他 所 有 可 能 连接 
的 Mesh 节点 都 是 被 认证 的 ,但 是 随 着 Mesh 节点 的 数量 增长 ,这 种 认证 数量 将 快速 增长 ， 
如 果 MP 的 数量 为 n, 则 需要 认证 2 的 "一 1 次 方 次 。 当 交大 于 一 定数 目的 时 候 , 认 证 次 数 
的 激增 将 导致 网 络 通信 流量 的 暴涨 ,这 是 不 现实 的 ,所 以 必须 要 有 独特 的 认证 解决 方案 来 实 
现 MP 节点 之 间 的 双向 认证 。 

另外 ,在 新 设备 加 入 Mesh 网 络 时 ,需要 某 种 机 制 保证 新 设备 可 正确 识别 其 他 Mesh 成 
员 的 和 角色。 传统 情况 下 ,设备 都 是 和 MAS(Mesh Authentication Server) 通 信 , 或 者 当 
AS(Authentication Server) 处 于 外 部 网 络 时 ,设备 和 端口 点 PP (Portal Point) 通 信 。 在 
802. 11 Mesh 中 ,设备 和 什么 节点 认证 ,或 者 还 有 可 能 和 MAS 或 PP 以 外 的 其 他 设备 通信 ， 
还 是 一 个 问题 。 

对 于 这 种 问题 ,我 们 考虑 采用 诸如 EAP 等 方式 的 认证 ,同时 设立 相对 集中 的 认证 点 和 
认证 服务 器 ,这 还 要 和 传统 的 WLAN 所 不 同 , 可 以 解决 双向 认证 和 保持 高 效 认 证 的 统一 
WH. 


8.3.3 多 跳 路 由 安全 


由 于 无 线 网 络 的 覆盖 范围 有 限 ,一 个 无 法 直接 接 和 人 到 路 由 器 的 MP 可 以 借助 其 他 的 
MP 转发 进行 数据 通信 ,可 在 没有 固定 设施 的 情况 下 ,通过 移动 节点 间 相互 协作 保持 网 络 互 
联 , 拓 展 了 移动 通信 的 网 络 范围 。 这 直接 导致 网 络 存 在 窃听 攻击 和 终端 服务 的 隐患 。 

WMN 的 路 由 也 呈现 特别 的 脆弱 性 53 ,在 有 线 网 络 中 ,可 在 路 由 器 和 网 关 处 进行 特别 
的 保护 ,而 WMN Si AS Pe) WMN 节点 的 供给 者 能 够 通过 散播 错误 的 路 由 信息 使 整个 
网 络 闪 病 。 更 严重 的 是 由 于 失 密 节点 给 出 的 错误 路 由 信息 对 来 自 所 有 节点 的 信息 都 产生 
影响 。 
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在 Mesh 网 络 中 ,由 于 路 由 的 脆弱 性 ,拒绝 服务 攻击 变 得 更 加 容易 ,形式 也 有 所 改变 ， 
Mesh 网 络 中 任何 一 个 MP 节点 都 可 以 成 为 “攻击 者 ”, 通 过 路 由 手段 ,实现 一 些 欺骗 ,比如 
说 “黑洞 ”: 攻击 者 发 送 一 些 假冒 的 包 , 模 拟 一 个 有 效 的 Mesh 节点 ,再 丢弃 包 ; 还 有 “ 灰 洞 ” 
和 “ 虫 洞 "等 。 

因此 ,这 种 由 于 MP 的 脆弱 性 、 移 动 性 导致 的 路 由 威胁 在 Mesh 网 络 被 放大 了 ,需要 一 
个 安全 的 路 由 协议 来 保证 Mesh 网 络 的 通信 畅通 。 


8.3.4 自 组 织 与 资源 分 配 问题 


WMN 的 节点 一 般 是 静止 的 ,但 在 出 现 拓扑 变化 即 新 节点 加 入 或 旧 节点 退出 、 链 路 干扰 
的 情况 下 可 能 会 发 生变 化 。 此 时 ,WMN 自 组 织 特性 5 就 会 自动 维护 网 络 的 可 用 性 。 在 此 
过 程 中 ,一 个 经 验 丰 富 的 黑客 很 容易 抓 住 这 个 机 会 。 采 用 假冒 攻击 ,拒绝 服务 攻击 等 手段 实 
现 网 络 入 侵 或 导致 网 络 瘫痪 。 对 于 自 组 织 的 WMN 来 说 ,最 严重 的 威胁 是 破坏 网 络 的 可 用 
性 ,如 果 一 个 假冒 MP 或 者 泄密 的 MP 可 能 会 广播 虚假 路 由 信息 ,会 导致 WMN 面临 两 种 
威胁 ,一 种 威胁 是 所 有 的 通信 量 被 定向 到 攻击 者 所 在 的 MP, 攻击 者 及 此 刻 已 窃听 , 算 改 , 直 
接 导致 整个 网 络 通信 中 断 。 毫 无 疑问 ,此 时 网 络 传输 速度 也 会 由 于 通信 量 过 于 集中 而 导致 
网 络 传输 速率 大 幅 下 降 。 攻 击 者 的 后 续 行 为 极 有 可 能 控制 整个 网 络 。 另 一 种 威胁 是 被 和 人 侵 
MP 利用 发 送 虚 假 路 由 信息 欺骗 与 之 有 联系 的 MP, 会 导致 错误 路 由 信息 的 破坏 作用 的 放射 
状 增幅 ,直接 导致 整个 网 络 崩 溃 。 

由 于 无 线路 由 器 距离 Internet 接 和 点 有 近 有 远 ,远离 Internet 接 入 点 的 节点 有 可 能 获 
得 很 小 的 带宽 ,所 以 设计 合理 的 协议 来 保证 节点 间 公平 中 是 很 重要 的 ,对 公平 性 的 保护 也 

这 两 个 问题 也 可 以 划 归 到 安全 路 由 的 范围 ,通过 建立 一 个 安全 的 、 健 壮 的 、 自 适应 的 路 
由 ,实现 所 有 的 MP 的 资源 公平 性 与 自 组 织 性 09 。 


8.3.5 角色 定义 与 切换 


两 个 MP 之 间 如 何 建 立 安全 连接 ,它们 又 如 何 识别 对 方 ,如 何 确保 它们 能 够 正确 识别 对 
Ji Jy MP 而 不 是 STA 或 NFMP(Non Forwarding Mesh Point) ,这 就 需要 一 种 安全 机 制 保 
证 MP 之 间 可 以 安全 正确 的 识别 对 方 。 

尽管 授权 节点 可 以 承担 多 种 角色 ,但 是 完全 没有 必要 让 节点 始终 扮演 多 种 角色 ,将 带 来 
不 必要 的 能 量 损 耗 。 例 如 ,一 个 MAP 节点 可 以 在 进入 到 节能 模式 之 前 ,切换 到 另 一 个 角 
色 。 这 就 需要 某 种 安全 机 制 已 保证 各 种 授权 角色 之 间 的 安全 切换 。 

在 802. 1x 标准 中 指出 若 AS 对 认证 方 来 说 是 不 可 达 的 ,那么 802. 1x 认证 将 失败 。 故 
当 AS 在 Mesh 外 部 网 络 时 ,Mesh 接 人 点 MAP(Mesh Access Point) 的 角色 将 不 能 得 到 保 
证 。 在 这 种 情况 下 ,如 果 让 PP 承担 AS 的 角色 ,又 会 引入 新 的 问题 : 即 是 否 要 在 所 有 的 PP 
上 加 入 AS 代理 。 此 外 ,还 会 有 些 非 PP 节点 既 属于 Mesh 网 络 ,同时 又 属于 外 部 网 络 ,对 他 
们 的 角色 和 功能 分 配 将 变 得 复杂 。 

必须 要 建立 一 个 定义 这 种 角色 分 配 和 转换 的 协议 ,实现 动态 的 安全 的 角色 切换 。 
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8.4 基于 MSA 协议 的 安全 协议 及 相关 技术 


8.4.1 基本 概念 


为 了 保护 多 跳 、 自 组 织 的 WLAN Mesh 网 络 的 链 路 安全 ,IEEE 802. 11 TGs 工作 组 专 
门 提出 了 一 个 称 为 Mesh 安全 关联 (Mesh Security Association, MSA) 的 安全 方案 07]。 
MSA 是 一 个 安全 框架 ,与 WLAN 中 所 应 用 的 IEEE 802. 11i 方案 相 比 , 它 使 用 了 新 的 密 钥 
体系 ,并 规定 了 一 系列 新 的 认证 协议 建立 并 运用 这 一 密 钥 体系 。 其 最 终 目 的 是 对 每 个 MP 
节点 在 接 入 网 络 前 进行 可 靠 的 身份 认证 ,并 为 每 一 条 链 路 两 端的 MP 节点 协商 一 套 共 同 的 
密码 算法 及 密 钥 , 保 护 该 链 路 上 传输 数据 的 机 密 性 和 完整 性 。 

1. 密 钥 持 有 者 Key Holders 

MSA 架构 将 参与 安全 交互 的 MP 节点 分 成 3 种 角色 : Mesh 密 钥 分 发 者 (Mesh Key 
Distributor, MKD) , Mesh 认证 者 (Mesh Authenticator. MA) fll Supplicant MP。 其 中 MKD 和 
MA 合 称 为 密 钥 持 有 者 Key Holders, 用 以 取代 原先 单纯 的 AS-Authenticator 模式 。 
Supplicant MP 指 在 802. 1x/EAP 认证 中 作为 Supplicant 方 的 节点 ,一 般 为 希望 通过 身份 认 
证 加 入 Mesh 网 络 的 Candidate MP 节点 。 

MKD 作为 AS 在 Mesh 网 络 中 的 代理 人 ,主要 负责 主 密 钥 的 生成 和 分 发 以 及 确认 MA 
的 资格 。MKD 的 引入 就 不 需要 每 个 MA 节点 都 维护 到 AS 的 安全 链 路 ,保证 Mesh 网 络 内 
部 的 自 组 织 特性 。 默 认 MKD 与 AS 间 维 护 着 一 条 安全 路 径 , 保 证 它们 之 间 传 输 的 密 钥 信息 
的 安全 。MKD 与 MA 之 间 可 以 经 过 无 线 多 跳 路 径 ,因此 需要 建立 一 支 密 钥 体系 以 保证 其 间 传 
输 数 据 的 安全 。 一 个 MKD 定义 了 一 个 MKD 域 ,用 一 个 MKDD-ID 标识 。 一 个 MKD 域 也 是 
一 个 狭义 的 Mesh (i) 445819) ,一 个 MP 节点 在 某 一 时 刻 只 能 属于 一 个 MKD 域 。 

MA 是 具备 为 Candidate MP 节点 提供 认证 服务 资格 的 节点 , 它 能 够 建立 并 维护 一 条 通 
往 MKD 的 安全 链 路 以 保证 经 其 转发 的 Candidate MP 的 认证 信息 的 安全 。 

MKD 的 角色 是 人 工 指定 的 ,一 般 位 于 Mesh 网 络 与 外 部 网 络 接口 的 网 关节 点 上 ,需要 
与 外 部 AS 服务 器 相连 。 而 MA 和 Supplicant MP 的 角色 则 是 自 适 应 的 ,一 个 MP 节点 随 
应 用 场景 的 不 同 所 担当 的 角色 也 会 有 变化 。 只 有 在 初始 MSA 认证 中 的 角色 选择 阶段 才能 
确定 各 自 的 相对 角色 。 


2. MSA 协议 集 
MSA 架构 定义 了 一 系列 协议 完成 用 户 认证 与 密 钥 体系 的 建立 及 维护 工作 。 以 下 MSA 
协议 是 该 架构 的 主体 。 


COD 初始 MSA 认证 协议 (Initial MSA Authentication) 7? : 用 于 安全 地 建立 MP 对 间 
的 链 路 ,并 且 在 需要 时 实现 安全 认证 和 用 于 保护 后 续 链 路 的 密 钥 体系 结构 的 建立 。 

(2) 简化 MSA 握手 协议 (Abbreviated Handshake) 9 : 用 于 使 用 已 建立 的 密 钥 体系 结 
构 中 存储 的 共享 密 钥 来 安全 地 建立 MP 对 间 的 链 路 。 

MSA Key Holder Communication 由 4 个 协议 组 成 3。 

(1) Key Holder 安全 握手 协议 (Mesh Key Holder Security Handshake); 在 MA 和 
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MKD 间 建 立 通信 和 安全 关联 。 

(2) Key Holder 安全 解除 协议 (Mesh Key Holder Security Teardown)"9 ; 用 于 Mesh 
Key Holder 间 协 商 删除 已 建立 的 安全 关联 。 

(3) Mesh 密 钥 传输 协议 (Mesh Key Transport Protocol); 实现 MA 和 MKD 间 密 钥 分 
配 和 管理 。 

(4) Mesh EAP 消息 传输 协议 (Mesh EAP Message Transport Protocol) : 描述 MA 和 
MKD 间 EAP 报 文 传输 机 制 。 

3. 安全 关联 

安全 关联 (SA) 的 建立 代表 了 一 次 认证 协议 的 顺利 协商 。 它 是 一 系列 安全 参数 的 集合 ， 
标识 了 某 个 密 钥 材料 及 其 相关 操作 信息 。MSA 架构 定义 了 PMK-MKD SA、PMK-MA SA 
和 Key Holder Communication SA 等 安全 关联 来 组 织 其 密 钥 材料 。 


8.4.2 BAAR 


密 钥 体系 是 整个 MSA 安全 架构 的 核心 和 最 终 目标 。 在 一 个 应 用 了 MSA 架构 的 Mesh 
网 络 中 ,一 个 MP 只 有 通过 身份 认证 后 建立 起 一 套 密 钥 体系 才 被 允许 在 网 络 中 参与 通信 。 
相 比 WLAN 网 络 ,Mesh 网 络 的 特性 对 密 钥 的 保护 提出 了 不 同 的 要 求 。 例 如 在 自 组 织 网 络 
中 作为 认证 中 心 节点 的 认证 服务 器 并 非 随时 可 达 , 或 者 密 钥 材 料 的 分 发 需要 经 过 不 可 靠 的 
多 跳 路 径 , 这 就 要 求 密 钥 体系 作 相应 调整 。 

如 图 8-5 所 示 ,MSA 密 钥 体系 结构 可 分 为 链 路 安全 (Link Security) 和 密 钥 分 发 (Key 
Distribution) 两 个 分 支 。Link Security 分 支 用 于 MKD,MA 和 Supplicant MP 间 的 密 钥 生 
成 和 分 发 ,用 于 保护 任 以 相 邻 MP 对 间 的 每 跳 数 据 链 路 的 安全 ; Key Distribution 分 支 用 于 
保障 Key Holder 间 的 端 到 端 安全 通信 以 及 PMK-MA 密 钥 的 安全 分 发 。 在 结构 上 可 以 把 
Key Distribution 分 支 想象 成 构建 在 Link Security 分 支 上 的 一 条 安全 隧道 。 


XXKey(MSK/PSK) 
{X,AS} 
PMK-MKD MKDK 
(X.MKD] {X.MKD} 
PMK-MA PMK-MA MPTK-KD 
(X. MKD.MPI] {X,MKD,MP2} {X,MKD} 
PTK PTK 
{X,MP1} {X,MP2} 


8-5 MSA 密 钥 体系 


1. 链 路 安全 分 支 建 立 
建立 密 钥 体系 之 前 在 Supplicant MP 和 AS/MKD 间 必 须 已 经 存在 一 个 共享 的 MSK 
(Master Session Key) 或 PSK(Pre-Shared Key)?" 。 
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(1) Level 1: MKD 和 Supplicant MP 分 别 使 用 MSK 生成 PMK-MKD; MKD 生成 一 
个 随机 数 ANONCE” 和 标识 符 PMK-MKDName, 并 建立 一 个 PMK-MKD SA, 

PMK-MKD= KDF-256 (MSK," MKDKeyDerivation", MeshIDlen || MeshID || MKDDID || 0x00 || 

SPA) 

PMK-MKDName- TK-128(SHA-256(" MKDKeyName" || MeshIDlen || MeshID || MKDDID || 0x00 || 

SPA || ANonce)) 

PMK-MKD 由 MKD 和 Supplicant MP 共同 持 有 ,用 于 导出 下 层 密 钥 ,不 参与 具体 的 安 
全 操作 。 每 对 Supplicant MP 和 MKD 都 可 以 分 别 计算 相 应 的 PMK-MKD.MKD 上 存在 多 
个 对 应 于 不 同 Supplicant MP 的 PMK-MKD ,它们 通过 SPA 区 别 并 用 PMK-MKD Name IE 
一 标识 。 

(2) Level 2: MKD 针对 不 同 的 MA-Supplicant MP 对 生成 PMK-MA 和 标识 符 PMK- 
MAName, 通 过 Mesh 密 钥 传输 协议 将 PMK-MA 以 及 它 选择 的 ANONCE 分 发 到 指定 
MA。 并 建立 一 个 PMK-MA SA。 

PMK-MA=KDF-256(PMK-MKD,"MAKeyDerivation" , PMK-MKDName || MAID || 0x00 || SPA) 

PMK-MAName= TK-128(SHA-256("MAKeyName" || PMK-MKDName || MAID || 0x00 || SPA)) 

PMK-MA 作用 与 802. 11i 中 的 PMK 类 似 ,由 每 对 Supplicant MP 和 MKD 共同 持 有 ， 
并 由 MKD 通过 安全 协议 发 送 给 对 应 的 MA 用 以 完成 MSA 四 次 握手 。 每 个 MA 上 也 存在 
多 个 PMK-MA, 每 个 PMK-MA 对 应 于 不 同 的 Supplicant MP, 它 们 通过 PMK-MKD, 
PMK-MKDName 和 MAID 区 别 并 用 PMK-MAName 唯一 标识 。 

(3) Level 3: MA 与 Candidate MP 使 用 PMK-MA 生成 PTK。 

PTK = KDF-PTKlen ( PMK-MA, " PTKKeyDerivation" , SNonce || ANonce || MAID || SPA || PMK- 

MAName) 

PTKName= TK-128(SHA-256(PMK-MAName || "PTKName" , SNonce || ANonce || MAID || SPA)) 

生成 PTK 使 用 的 方法 与 802. 11i 四 次 握手 中 使 用 的 方法 基本 一 致 。 与 802. 11i 不同 的 
是 ,生成 PTK 使 用 的 ANONCE 可 以 是 由 MKD 获得 的 而 不 是 自己 产生 的 。Supplicant MP 
在 获得 ANONCE 后 按照 与 前 面 MKD 一 致 的 步骤 生成 PMK-MA. 并 进一步 生成 PTK。 

2. 密 钥 分 发 分 支 建立 

建立 密 钥 体系 之 前 在 Aspirant MA 与 MKD 间 必 须 已 经 存在 一 个 共享 的 MSK (Master 
Session Key) 或 PSK(Pre-Shared Key) 。 

(1) Level 1; MKD 使 用 MSK 或 PSK 生成 Mesh KDK., 

MKDK=KDF-256(MSK,"MKDK", MeshIDlen || MeshID || MKDDID || MAID || ANonce) 

MKDKName= TK-128 (SHA-256 (" MKDKName" || MeshIDlen || MeshID || MKDDID || MAID || 

ANonce)) 

+j PMK-MKD 类 似 ,MKDK 由 MKD 和 Aspirant MA 共同 持 有 ,用 于 导出 下 层 密 钥 ， 
不 参与 具体 的 安全 操作 。 

(2) Level 2; MKD 使 用 MKDK 和 MKDKName 分 别 生成 MPTK-KD 和 MPTK- 
KDName, 


MPTK-KD- KDF-256( MKDK . " MPTK-KD" . MANonce || MKDNonce || MAID || MKDID) 
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MPTK-KDName= TK-128 ( SHA-256 (MKDKName || " MPTK-KDName" || MANonce || MKDNonce || 

MAID || MKDID)) 

MPTK-KD Æ MKD 和 MA 间 的 专用 PTK, 用 于 保护 两 者 间 的 密 钥 发 送 等 Key Holder 
通信 的 保密 性 和 数据 完整 性 。MKD 和 MA 分 别提 供 并 交换 一 个 256bit 伪 随 机 数 MKD- 
Nonce 和 MA-Nonce, 与 MKDK 和 双方 MAC 地 址 一 起 生成 MPTK-KD 和 MPTK-KDName。 


8.4.3 MSA 协议 集 


1. 初始 MSA 认证 

初始 MSA 认证 机 制 实现 了 Candidate MP 加 入 一 个 Mesh 网 络 时 必要 的 身份 认证 和 链 
路 安全 分 支 密 钥 体系 生成 。 

如 图 8-6 所 示 ,一 个 初始 MSA 认证 过 程 大 致 可 分 为 三 个 阶段 : 由 一 对 双向 的 Peer 
Link Open/Confirm 消息 构成 的 PLM (Peer Link Management) 协 议 交 互 阶段 ; 可 选 的 
EAP 身份 认证 阶段 ; MSA 四 次 握手 阶段 。 


Supplicant 
MKD MA MP 
Peer Link Open. 
[a— 
MKT Pull | 密 钥 /角色 选择 z 
[pondre ee ZI Peer Link Confirm z 
Peer Link Open -| 
—- 
密 钥 /角色 选择 
MP __nnE edie 
re Peer Link Confirm 
s . .. EAP-Start--EAP-Success - ie 
EAP 消 息 传输 协议 [EAPOL[EAP]] & 
生成 PMK-MA E 
E MKT Push____ æt- PHAR F#1(Anonce,0,0) 
生成 PMK-MA | 由 
四 次 握手 42(SnonceMICJIES) E 
zm 3 
四 次 气 手 #3(Anonce,MIC IEs) 加 
—-| z 
四 次 握手 #4(0.MICJES) 
受 控 端 口 开启 受 控 端 口 开启 
8-6 初始 MSA 认证 过 程 
D PLM 子 协议 


PLM Psi?) 340.55 802. 11 关联 阶段 ,在 该 阶段 协商 用 于 后 续 身 份 认证 和 密 钥 应 用 
的 一 系列 安全 参数 。 另 外 由 于 Mesh 网 络 的 对 等 与 自 组 织 特性 ,在 PLM 阶段 还 将 进行 特殊 
的 密 钥 选择 和 EAP 角色 选择 操作 。 
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CD PLM 有 限 状 态 机 。PLM 协议 使 用 一 个 有 限 状 态 机 来 控制 整个 协议 的 运作 。 状 态 
机 包括 7 种 状态 。 通 过 生成 3 种 MLME 事件 (ACTOPN、PASOPN、CNCL)、5 种 消息 处 理 
事件 (OPN_ACPT/RJCT、CNF_ACPT/RJCT、CLS_ACPT) 或 4 种 计时 器 事件 (TOR1、 
TOR2 .TOC .TOHD) 推 动 状态 转移 ,完成 发 送 各 类 消息 帧 和 设置 /清除 计时 器 操作 。 由 状态 
转移 图 可 以 看 到 ,除了 一 般 的 消息 收发 控制 ,PLM 状态 机 的 重要 功能 即 是 消息 乱 序 处 理 和 
超时 重 传 控制 。 

由 于 Mesh 网 络 的 对 等 特性 ,PLM 协议 的 通信 双方 可 能 以 一 种 顺序 的 方式 收发 消息 ， 
也 可 能 以 一 种 同步 的 方式 收发 消息 。 这 将 导致 消息 的 乱 序 ,例如 双方 同时 发 出 一 条 Open 
请 求 ,或 是 Confirm 消息 先 于 Open 消息 到 达 。 在 设计 PLM 状态 机 时 考虑 到 了 所 有 可 能 情 
况 , 并 通过 设置 适当 的 状态 转移 妥善 地 解决 了 这 一 问题 。 

PLM 状态 机 定义 了 三 个 计时 器 来 实现 超时 管理 。 一 个 Retry Timer(TOR1) 用 于 控制 
Open 消息 的 重 传 并 使 用 可 能 的 backoff 算法 避免 冲突 , 当 Open 消息 重 传 超过 最 大 重 传 次 
数 (TOR2) 后 ,宣布 PLM 协商 失败 并 进入 HOLDING 状态 。 一 个 Confirm Timer 用 于 控制 
乱 序 状态 下 的 等 修 时 间 , 如 果 在 收 到 Confirm 消息 后 一 定时 间 (TOC) 没 有 完成 Open 消息 
的 处 理 , 则 宣布 PLM 协商 失败 并 进入 HOLDING 状态 。 一 个 Holding Timer 用 于 控制 在 
HOLDING 状态 的 停留 时 间 , 在 一 定时 间 (TOH) 内 没有 接 到 对 方 的 Close 应 答 则 自动 回 到 
IDLE 状态 。 

(2) 消息 帧 处 理 C9 。 由 于 自 组 织 的 Mesh 网 络 中 各 节点 可 能 无 法 事先 得 知 对 方 的 安全 
能 力 , 例 如 是 否 有 到 MKD 的 连接 .是 否 有 可 用 的 存储 密 钥 等 ,因此 简单 的 关联 请 求 /关联 响 
应 两 条 消息 无 法 为 双方 协商 确定 各 自 的 角色 。PLM 对 WLAN 关联 阶段 进行 补充 使 用 一 
对 异步 Peer Link Open/Confirm 消息 构成 以 克服 自 组 织 网 络 中 难以 同步 的 问题 。 

在 PLM 交互 阶段 ,各 MP 分 别 向 对 方 发 送 Peer Link Open Action Wi, Peer Link 
Open 消息 通过 包含 其 中 的 各 种 信息 元 素 (Information Element,IE) 向 对 方 通告 各 种 后 续 协 
商 所 需 的 安全 参数 ,这 些 IE 例如 通告 支持 对 /组 密 钥 /AKM 集 和 本 地 存储 密 钥 的 RSN TE. 
通告 MSA 安全 角色 信息 的 MSC IE 以 及 通告 MSA 能 力 、 初 始 认证 参数 和 选 定 对 /组 密 钥 、 
AKM 集 的 MSA IE 等 。 

在 收 到 Peer Link Open 消息 后 双方 比较 各 自 支持 的 密 钥 集 并 选择 一 个 用 于 后 续 操 作 。 
如 果 从 Peer Link Open 消息 中 发 现 本 地 存储 密 钥 的 存在 那么 说 明 密 钥 体系 已 经 建立 ,除非 
强制 要 求 进行 MSA 初始 认证 否则 可 以 使 用 Abbreviated 握手 机 制 。 如 果 没 有 可 用 的 存储 
密 钥 则 双方 进行 802. 1x 角色 协商 ,为 后 续 的 EAP 认证 作 准 备 。 

Peer Link Open 消息 处 理 无 误 后 MP 将 向 对 方 发 送 Peer Link Confirm 消息 确认 选 定 
的 各 种 密 钥 集 、 是 否 进 行 初始 MSA 认证 及 角色 协商 结果 。Peer Link Confirm 消息 主要 用 
于 保持 同步 和 信息 一 致 性 ,抵抗 降级 攻击 ,其 中 不 含有 新 的 信息 。 在 对 Peer Link Confirm 
消息 进行 验证 并 通过 后 ,MP 根据 配置 的 策略 进行 EAP 认证 或 直接 加 载 密 钥 开始 MSA 四 
次 握手 。 

(3) 密 钥 选择 。 一 对 节点 在 之 前 的 初始 MSA 认证 担当 的 角色 不 同 , 则 可 能 生成 不 同 的 
PMK-MA, 因 此 有 可 能 通信 双方 在 本 地 都 保存 了 不 止 一 个 可 用 的 PMK-MA。 这 样 就 需要 
进行 一 个 密 钥 选择 操作 协商 选 定 一 个 适合 本 次 认证 场景 的 存储 密 钥 。 如 果 密 钥 选 择 操作 失 
败 ,那么 说 明 必须 进行 初始 MSA 认证 重新 建立 密 钥 体 系 。 
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密 钥 选择 过 程 可 以 由 一 张 5 个 输入 一 个 输出 的 表 中 表示 。 
* valid-local-key: 是 否 具有 可 用 的 本 地 存储 密 钥 。 
* cached-peer-key; 是 否 具有 可 用 的 对 方 存储 密 钥 。 
* connected to MKD(peer) : 对 方 是 否 维护 着 通 往 MKD 的 一 条 链 路 。 
* connected to MKD(locaD : 本 地 是 否 维护 着 通 往 MKD 的 一 条 链 路 。 
* selector: 本 地 MAC 地 址 是 否 高 于 对 方 MAC 地 址 。 
输出 为 一 个 本 地 或 对 方 的 一 个 PMK-MA 标识 符 , 如 果 不 存在 这 样 一 个 标识 符 则 宣布 
协商 失败 。 如 果 由 输出 标识 符 标 识 的 密 钥 材料 在 本 地 无 法 找到 ,节点 将 调用 密 钥 传输 协议 
向 MKD 申请 相关 密 钥 。 
(4) 角色 选择 。 如 果 双 方 之 前 协商 结果 为 需要 进行 EAP 认证 , 则 需要 确定 各 自在 EAP 
认证 中 的 角色 。 角 色 选 择 过 程 也 可 以 由 一 张 5 个 输入 的 表 中 表示 。 
* require auth(peer): 本 地 是 否 要 求 强制 认证 。 
* require auth(locaD ; 对 方 是 否 要 求 强制 认证 。 
* connected to MKD(peer) : 对 方 是 否 维护 着 通 往 MKD 的 一 条 链 路 。 
* connected to MKD(locaD : 本 地 是 否 维护 着 通 往 MKD 的 一 条 链 路 。 
* selector: 本 地 MAC 地 址 是 否 高 于 对 方 MAC 地 址 。 
角色 选择 完成 后 则 一 个 节点 成 为 Authenticator, 而 另 一 个 成 为 Supplicant, Mesh 节点 
由 对 等 结构 转变 为 暂时 的 C/S 结构 。 
2) EAP 认证 
如 果 需 要 进行 EAP 认证 并 且 完 成 了 角色 选择 操作 , 则 通信 双方 将 开始 一 个 802. 1x/ 
EAP 认证 过 程 。 在 该 过 程 中 需要 使 用 EAP 消息 传输 协议 封装 原始 的 EAPOL 数据 帧 ,以 
适应 多 跳 传输 环境 。 认 证 成 功 后 Supplicant 和 MKD 分 别 计算 PMK-MKD; MKD 为 MA 生成 
A Nonce 和 PMK-MA 并 使 用 密 钥 传输 协议 将 它们 分 发 给 MA; 最 后 MKD 将 为 每 个 MKD- 
Supplicant MP 对 建立 一 个 PMK-MKD SA., 并 为 每 个 PMK-MA 建立 一 个 PMK-MA SA, 
3) MSA 四 次 握手 
MSA 四 次 握手 与 802. 11i 四 次 握手 流程 基本 相同 。 不 同 的 是 MA 发 出 的 第 一 条 消息 
中 的 ANonce 是 随 PMK-MA 一 起 从 MKD 获得 的 ,Supplicant MP 在 收 到 这 个 ANonce 后 
才能 够 计算 得 到 PMK-MA。 另 外 在 第 二 ,三 条 消息 中 还 会 附 上 PLM 阶段 Open 消息 中 的 
几 个 信息 元 以 确保 信息 的 一 致 性 ,验证 PLM 各 消息 的 完整 性 。 
在 四 次 握手 结束 后 双方 就 完成 了 相互 认证 ,建立 并 加 载 了 密 钥 体系 链 路 安全 分 支 。 双 
方 打开 802. 1x 控制 端口 ,开始 可 靠 的 数据 传输 。 
2. 简化 握手 协议 
简化 握手 协议 2 用 于 在 已 经 拥有 存储 PMK-MA 的 情况 下 建立 经 认证 的 MP 间 点 到 点 
链 路 及 会 话 密 钥 。 当 一 个 MP 认为 自己 与 对 方 之 间 至 少 有 一 个 共享 的 PMK-MA 且 对 方 支 
持 简化 握手 协议 时 ,该 MP 可 以 发 起 简化 握手 协议 简化 认证 过 程 。 通 信 双 方 在 两 种 情况 下 
共享 PMK-MA。 
(1) 两 个 MP 直接 进行 过 相互 认证 。 
(2) 其 中 一 个 MP 由 MKD 获得 另 一 个 MP 的 PMK-MA。 
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如 图 8-7 所 示 , 简 化 握手 协议 使 用 为 PLM 协 
议 规定 的 Action Wi (Open, Confirm) 进行 信息 交 
互 。 简 化 握手 将 原 有 的 PLM 交互 和 四 次 握手 合 二 Peer Link Open(....RSNIE,MSAIE) 
为 一 ,取代 原来 至 少 八条 消息 组 成 的 MSA 认证 机 | 
制 。 简 化 握手 功能 主要 通过 其 中 携带 的 RSN IE 
All MSA IE 的 交换 实现 ,在 Peer Link Open 帧 中 加 


Peer Link Confirm(...,RSNIE,MSAIE) 
入 携带 原来 四 次 握手 传递 的 Nonce ffi. PMK-MA 
选择 协商 列表 ,安全 能 力 协商 信息 以 及 加 密 的 组 密 


钥 等 信息 的 IE, 使 通信 双方 在 交换 Peer Link Open 
消息 后 就 可 以 使 用 共享 PMK-MA 生成 PTK 了 。 

简化 握手 功能 主要 包括 PMK 协商 ,安全 能 力 
协商 和 密 钥 管理 ， 图 8-7 简化 握手 认证 协议 

* PMK 协商 功能 选择 用 于 简化 握手 的 PMK-MA。 如 果 PMK 协商 无 法 选择 一 个 可 

用 的 PMK-MA 则 简化 握手 失败 。 如 果 PMK 协商 选 定 了 一 个 不 同 于 先前 提议 的 
PMK-MA ,两 个 MP 将 使 用 更 新 的 PMK-MA 参数 进行 开始 新 的 简化 握手 实例 ,或 
执行 初始 MSA 认证 获得 一 个 新 的 PMK-MA SA, 

。 安全 能 力 协 商 功 能 用 于 建立 安全 关联 的 安全 参数 ,例如 成 对 密码 零件 (pairwise 

cipher suite), AKM suite 和 其 他 相关 参数 。 

* 密 钥 管理 功能 生产 KEK.KCK 和 TK, 并 将 各 MP 的 GTK 分 发 给 对 方 。 

简化 握手 可 以 使 用 与 共享 PMK-MA 绑 定 的 KEK 和 KCK 对 Peer Link Open 帧 中 携 
带 的 密 钥 信息 进行 机 密 性 和 完整 性 保护 ,在 不 降低 安全 性 的 原则 上 最 大 限度 地 简化 了 协议 ， 
减 小 了 消息 个 数 及 处 理 开销 ,提高 了 协议 执行 的 效率 。 

3. Key Holder 安全 关联 握手 协议 

MP 可 以 通过 MKHSH 协议 建立 与 MKD 间 的 Mesh Key Holder 安全 关联 ,使 自己 成 
为 MA。 这 个 安全 关联 代表 了 密 钥 体系 的 密 钥 分 发 分 支 ,保证 两 者 间 的 所 有 MSA Key 
Holder 通信 的 安全 。 建 立 KH 安全 关联 分 为 两 个 阶段 : MKD 发 现 和 MP 发 起 的 MKHSH 
协议 。 随 着 安全 关联 的 建立 将 生成 MPTK-KD 保护 所 有 通信 报 文 和 传输 的 密 钥 。 该 协议 
的 前 提 是 MKD 与 MA 之 间 共 享 MKDK 。 

MKHSH 协议 是 一 个 四 次 握手 类 型 的 协议 ,主要 交换 了 用 于 计算 MPTK-KD 的 MA 
Nonce fll MKD Nonce, 以 及 协商 双方 支持 的 Key Holder 传输 类 型 。 消 息 通 过 MIC 机 制 使 
用 KCK-KD 和 选 定 的 MIC 算法 对 消息 帧 中 的 各 个 域 和 IE 进行 完整 性 保护 。 整 个 Mesh 
Key Holder Security Handshake 协议 由 四 条 消息 "站 组 成 。 

D 消息 1: MP>MKD 

传输 MA-Nonce。 收 到 有 效 的 Message 1 后 MKD 判断 MP 是 否 能 授权 成 为 MA。 如 
果 通 过 则 选择 随机 数 MKD-Nonce 会 同 MA-Nonce 计算 MPTK-KD, 最 后 发 送 消 息 2。 

2) 消息 2: MKD 一 MP 

传输 MKD Nonce、MKD 支持 的 Key Holder 传输 机 制 。 消 息 受 由 MKD 生成 的 MIC 
值 保护 。MP 在 收 到 有 效 的 消息 2 后 就 可 以 计算 MPTK-KD 并 选择 一 个 Key Holder 传输 
类 型 了 。 
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3) 消息 3: MP>MKD 

确认 各 种 信息 以 保证 信息 一 致 性 。 如 果 握 手 出 错 则 使 用 Status Code 表明 错误 原因 。 
消息 受 由 MP 生成 的 MIC 值 保护 。 

4) 消息 4: MKD—MP 

这 条 消息 不 参与 认证 或 MPTK-KD 生成 , 它 仅仅 为 了 使 MP 能 够 独自 管理 握手 消息 的 
重 传 ,而 MKD 只 负责 对 收 到 的 消息 进行 回复 。 消 息 受 由 MKD 生成 的 MIC 值 保护 。 

成 功 握手 后 双方 均 使 用 持 有 的 MA Nonce 和 MKD Nonce 计算 出 MPTK-KD, 并 且 协 
商 确定 使 用 的 Key Holder 传输 类 型 。Key Holder 安全 关联 建立 , MP 成 为 MA 并 可 以 为 
其 他 Supplicant MP 提供 认证 服务 。 

4. Key Holder 安全 关联 解除 协议 

一 个 网 络 中 可 以 存在 多 个 MKD 域 ,但 是 一 个 MA 在 某 一 时 刻 只 能 属于 一 个 MKD 域 ， 
也 即 只 能 与 一 个 MKD 建立 Key Holder 安全 关联 。 这 样 当 一 个 MA 希望 移动 到 另 一 个 
MKD 域 时 除了 建立 新 的 Key Holder 安全 关联 还 需要 删除 原 有 的 Key Holder 安全 关联 。 

MKHST 协议 就 用 于 Mesh Key Holder 间 协 商 删 除 已 建立 的 安全 关联 。 在 诸如 MKD 
不 再 提供 服务 的 情况 下 它 可 以 由 MKD 发 起 ,而 在 MA 需要 与 离开 当前 MKD 域 并 与 另 一 
个 MKD 建立 安全 关联 的 情况 下 也 可 以 由 MA 发 起 。 这 时 MA 需要 先 通过 MKHSH 与 新 
的 MKD 建立 安全 关联 ,然后 再 发 起 MKHST 删除 与 日 MKD 间 的 安全 关联 。 

MKHST 协议 由 一 个 请 求 和 一 个 响应 两 条 消息 组 成 [9 。 协 议 发 起 方 称 为 Teardown 
Requester, 另 一 方 称 为 Teardown Responder. Requester 在 请 求 消息 中 表明 解除 原因 以 及 
需要 删除 的 安全 关联 ,安全 关联 使 用 每 条 消息 包含 的 MPTK-KDShortName 进行 标识 , 同 
时 删除 的 还 包括 MPTK-KD 和 与 之 相关 的 Replay Counter。 两 条 消息 均 受 到 MIC 保护 。 

5. Mesh 密 钥 传输 协议 

如 前 文 所 提 到 的 ,在 初始 MSA 认证 中 MA 可 能 会 要 求 MKD 提供 某 个 PMK-MA 密 
$, MKD 也 需要 将 生成 的 密 钥 分 发 到 MA。 为 此 MSA 中 特别 规定 了 一 套 Mesh 密 钥 传 输 
协议 ,应 用 密 钥 分 发 分 支 的 MPTK-KD 保护 MKD 到 MA 的 PMK-MA 传输 过 程 以 及 密 钥 
撤销 过 程 。Mesh 密 钥 传 输 协 议 由 三 个 子 协议 组 成 ,分 别 用 于 几 种 特定 的 场景 。 

(1) Pull Protocol; Pull 协议 适用 于 一 般 场 景 。 在 密 钥 过 期 或 对 Supplicant MP 进 
行 认证 时 在 本 地 找 不 到 所 需 的 PMK-MA 情况 下 ,MA 就 发 送 一 个 PMK-MA request 消息 
申请 密 钥 。MKD 收 到 PMK-MA request 后 检查 MIC 和 重 放 计 数 器 ,车 无 误 则 根据 其 中 携 
带 的 PMK-MAName 找到 对 应 的 PMK-MA, 并 在 PMK-MA response 消息 中 返回 PMK- 
MA。 若 根据 PMK-MA Name 找 不 到 合适 的 PMK-MA, 则 MKD 将 标明 相应 response 消 
息 类 型 并 把 数据 帧 中 密 钥 信息 域 置 0。 这 两 条 消息 都 受 完整 性 保护 ,PMK-MA 被 加 密 
传输 。 

(2) Push Protocol: Push 协议 主要 用 于 拓扑 建立 阶段 。 首 先 由 MKD 向 MA 发 送 一 条 
含有 PMK-MA 标识 信息 的 PMK-MA Notification 消息 ,而 后 MA 发 起 完整 Pull 协议 申请 
Notification 中 标识 的 PMK-MA。 三 条 消息 都 受 完整 性 保护 ,PMK-MA 被 加 密 传输 。 

(3) Key Delete Protocol: 当 PMK-MA 过 期 需要 撤销 时 ,由 MKD 发 送 一 条 密 钥 撤 销 
请 求 PMK-MA delete, MA 收 到 PMK-MA delete 消息 后 ,将 验证 MIC 以 及 重 放 计数 器 ， 
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通过 后 MA 使 用 PMK-MA delete 消息 中 包含 的 PMK-MKDName 和 SPA 计算 PMK- 
MAName, 并 且 撤销 由 这 个 PMK-MAName 所 标识 的 PMK-MA。 最 后 向 MKD 发 送 类 型 
为 “Key delete acknowledged” 的 PMK-MA response 消息 确认 密 钥 撤销 。 两 条 消息 都 受 完 
整 性 保护 。 

6. EAP 消息 传输 协议 

为 了 使 EAP 消息 能 够 适应 Mesh 网 络 的 多 跳 传输 环境 ,避免 将 MP 间 中 继 的 EAP 消 
息 和 自发 的 EAP 消息 混淆 ,MSA 架构 定义 了 Mesh EAP 封装 帧 封装 EAPOL 消息 ,并 使 用 
Mesh EAP 消息 传输 协议 在 MKD 和 MA 之 间 传 输 。 

MA 使 用 EAP encapsulation request message [i] MKD 发 送 来 自 Supplicant 的 EAP 
消息 ,或 者 向 MKD 请 求 发 起 EAP 通信 (EAP-Start)。MKD 收 到 EAP encapsulation 
request message 后 验证 MIC, 储 存 重 放 计 数 器 值 用 于 生成 回复 ,然后 提取 里 面 封装 的 EAP 
消息 并 转发 给 AS。 

当 MKD 由 AS 接 到 回复 EAP 消息 后 ,使 用 EAP encapsulation response message 封装 
后 发 送 给 MA。 该 消息 可 以 有 三 种 类 型 response、accept 或 reject, 分 别 用 于 封装 EAP 
Response, EAP Accept 和 EAP Reject 数据 。MA 收 到 EAP encapsulation response 
message 后 验证 MIC 以 及 收 到 的 重 放 计 数 器 值 与 最 近 发 出 的 是 否 匹 配 ,并 根据 最 后 一 个 
response 消息 的 类 型 判断 需要 进行 的 进一步 操作 。 


8.4.4 安全 方案 协议 协作 实例 


实际 的 安全 方案 是 多 个 协议 协作 的 过 程 ,如 图 8-8 RAS, Candidate MP 希望 加 入 
WLAN Mesh 网 络 ,就 向 其 无 线 传输 范围 内 的 MA 1 发 起 初始 MSA 认证 。 在 PLM 阶段 通 
信 双 方 协商 确定 使 用 的 密 钥 算法 集 . 没 有 可 用 的 存储 密 钥 ,并 且 由 Candidate MP 作为 EAP 
认证 的 Supplicant 端 。 接 着 双方 开始 EAP 交互 ,MA 1 使 用 EAP 消息 传输 协议 与 MKD 1 
交换 EAP 消息 ,MKD 1 处 理 EAP 消息 并 与 AS 使 用 Radius 协议 认证 Candidate MP ,并 使 
用 密 钥 传输 Push 协议 分 发 生成 的 PMK-MA 至 MA 1。 成 功 后 Candidate MP 和 MA 1 进 
入 四 次 握手 阶段 生成 PTK 保护 之 间 的 数据 传输 ,Candidate MP 加 入 网 络 。 

MA 3 希望 加 入 MKD 1 域 . 它 将 先 通 过 Key Holder 安全 握手 与 MKD 1 建立 安全 关 
联 , 然 后 再 发 起 Key Holder 安全 解除 协议 取消 与 MKD 2 间 的 安全 关联 。 

MAP 与 MA 2 之 间 曾 经 进行 过 初始 MSA 认证 生成 了 共享 PMK-MA, 因 此 当 需 要 重 
新 生成 PTK 时 双方 只 需要 使 用 简化 握手 协议 。 如 果 MA 2 没有 在 本 地 找到 MAP 的 密 钥 
材料 , 它 将 通过 密 钥 传 输 Pull 协议 向 MKD 1 请 求 MAP 的 PMK-MA, 再 重新 发 起 简化 握 
手 协 议 。 

8.4.5 协议 安全 性 分 析 

MSA 认证 方案 由 802. 11i 方 案 发 展 而 来 ,但 是 与 802. 11i 方案 有 着 本 质 的 不 同 , 主 要 体 

现在 Mesh 网 络 的 对 等 特性 上 。 这 意味 着 网 络 中 的 节点 在 不 同 的 交互 中 可 能 担任 不 同 的 安 


全 角色 ,协议 交互 消息 的 顺序 也 不 再 是 确定 的 了 。 这 就 要 求人 为 地 明确 消息 的 方向 性 以 阻 
止 重 放 攻 击 。 
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图 8-8 MSA 协议 协作 


初始 MSA 认证 协议 分 为 三 个 阶段 。 在 PLM 交互 阶段 由 于 密 钥 体 系 还 未 建立 因此 无 
法 对 其 进行 有 效 保护 ,但 是 该 阶段 交互 的 信息 的 完整 性 可 以 在 四 次 握手 阶段 完成 后 得 到 验 
WE, EAP 框架 的 安全 性 在 文献 [31] 中 得 到 证 明 。 

MSA 四 次 握手 和 802. 11i 四 次 握手 有 着 几 个 相同 的 安全 目标 : 

CD 通过 正确 的 MIC 编 解码 验证 双方 持 有 相同 的 PMK-MA 并 保护 消息 完整 性 ; 

(2) 通过 NONCE 的 选择 交换 确保 生成 PTK 的 新 鲜 性 ; 

(3) 使 用 完 余 的 第 4 条 消息 同步 双方 向 MAC 层 加 载 PTK/GTK 的 操作 。 

与 802. 11i 四 次 握手 不 同 的 是 , MSA 四 次 握手 除了 需要 在 消息 中 添加 PLM 阶段 保存 
的 信息 验证 其 真实 性 和 完整 性 ,还 需要 明确 消息 的 方向 性 。 通 过 规定 消息 中 NONCE 排列 
的 顺序 ,MSA 架构 在 不 添加 新 状态 的 情况 下 巧妙 地 解决 了 方向 性 的 问题 。 

简化 握手 协议 使 用 Peer Link Open/Confirm 消息 进行 通信 ,但 是 由 于 存储 PMK-MA 
已 经 选 定 , 因 此 能 够 对 消息 携带 的 密 钥 信息 进行 加 密 , 并 对 传输 的 消息 使 用 MIC 完整 性 保 
护 。 但 是 由 于 使 用 的 KEK 和 KCK 是 和 PMK-MA 绑 定 的 ,无 法 保证 密 钥 新 鲜 性 。 

Key Holder 安全 握手 同属 于 四 次 握手 类 型 协议 .与 MSA 四 次 握手 具有 类 似 的 安全 目 
标 和 手段 。 然 而 MSA 草案 专门 规定 了 消息 中 携带 的 MA 和 MKD 地 址 排列 顺序 ,更 直接 
地 明确 消息 的 发 起 者 和 接收 者 ,以 防止 重 放 攻 击 。 

Key Holder 安全 解除 协议 以 及 密 钥 传输 协议 中 的 三 个 子 协议 Pull, Push 和 Delete D) 
议 本 质 上 都 是 请 求 /响应 式 协议 ,由 于 Push 协议 中 的 第 一 条 消息 是 无 需 保护 的 。 这 些 协 议 
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的 消息 在 应 用 了 重 放 计数 器 的 同时 ,明确 加 入 了 发 起 者 或 接收 者 地 址 ,以 避免 回 射 攻击 威 
胁 。 协 议 中 的 消息 均 使 用 MIC 验证 码 ,保护 消息 完整 性 。 

文献 [32] 使 用 SafeNet 和 PCL 技术 对 整个 MSA 的 密 钥 体系 进行 了 详细 的 安全 分 析 ， 
可 以 证 明 MSA 密 钥 体系 在 现 有 单 MKD 架构 Mesh 网 络 中 是 安全 且 足 够 有 效 的 。 


8.5 小 结 


本 章 首先 对 无 线 Mesh 网 络 进行 了 概述 ,其 次 对 无 线 Mesh 网 络 的 安全 风险 和 安全 需 
求 进行 了 分 析 , 然 后 重点 阐述 了 基于 MSA 协议 的 安全 协议 及 相关 技术 。 解 释 了 MSA 的 一 
些 基本 概念 ,包括 体系 中 定义 的 各 种 角色 、 安 全 关联 ,以 及 协议 集 概述 ; 详细 介绍 MSA 架构 
的 核心 : MSA 密 钥 体系 。 包 括 其 各 分 支 和 层次 结构 ,各 种 密 钥 的 生成 .用途 以 及 应 用 场景 ; 
接着 是 MSA 协议 集 的 详细 介绍 ,协议 集中 包括 六 种 协议 ,用 于 完成 用 户 身 份 认证 及 MSA 
密 钥 体系 的 生成 、 分 发 和 维护 。 并 和 希望 通过 一 个 协议 协作 实例 加 深 读者 的 理解 。 最 后 对 
MSA 协议 进行 了 安全 分 析 , 得 出 MSA 安全 架构 在 现 有 单 MKD 架构 Mesh 网 络 中 是 安全 
且 足 够 有 效 的 结论 。 
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第 9 章 ”对 等 网 络 及 研究 进展 


摘要 : 对 等 网 络 系统 是 一 个 新 兴 的 研究 领域 , 近 些 年 得 到 迅速 发 展 。 本 
章 首先 对 对 等 网 络 进行 了 概述 性 介绍 ,然后 重点 介绍 了 对 等 网 络 在 路 由 、 拓 
扑 和 查询 这 三 方面 的 研究 工作 和 研究 进展 。 

关键 字 : P2P.DHT. Bw st FH, 


9.1 P2P 概述 


过 去 十 年 见证 了 Internet 涌现 出 的 大 量 分 布 式 应 用 ,其 中 最 流行 的 应 用 
之 一 是 使 用 P2P(Peer-to-Peer) 系 统 的 文件 共享 。 在 1999 年 1 月 ,Shawn 
Fanning 离开 NorthWestern University, 开 发 了 软件 Napster", Napster 是 
公众 可 用 的 第 一 个 用 于 音乐 共享 的 系统 ,并 且 取 得 了 极 大 的 成 功 。 在 它 诞生 
AAA ,世界 上 就 有 几 百 万 的 用 户 使 用 它 。 然 而 ,好 景 不 长 ,美国 唱片 工业 协会 
(RIAA) 发 起 了 对 Napster 的 起 诉 ,认为 它 在 非法 共享 MP3 音乐 文件 方面 起 
了 推波助澜 的 作用 ,因此 违反 了 版 权 法 。 尽 管 与 德国 媒体 公司 Bertlesmann 
AG 联合 开发 一 个 成 员 基 于 的 分 布 系统 以 保障 艺术 家 的 版 权 收 入 ,Napster 
还 是 被 司法 局 在 2001 年 3 月 关闭 。 但 Napster 的 结束 并 不 意味 着 P2P 文件 
共享 的 结束 。 相 反 , 以 Gnutella) 为 主力 的 分 布 式 P2P 系统 仍然 在 继续 发 展 
并 不 断 壮大 。 新 系统 如 KaZaA“ , LimeWire“ , Morpheus 不 断 出 现 ,P2P 
用 户 数量 持续 快速 增长 。 在 2000 年 夏 ,KaZaA 软件 已 被 超过 1 亿 用 户 下 载 。 
此 外 ,系统 不 再 局 限于 共享 音频 视频、 软件 和 其 他 格式 文件 。 它 已 经 超越 了 
文件 共享 的 王国 ,出 现 了 如 SETIQ Home"! 等 利用 系统 参与 者 的 空闲 处 理 
能 力 等 新 型 应 用 。 今 天 ,P2P 系统 已 经 在 数据 存储 5 AH ($077 、 消 息 系 
统 中 等 多 方面 得 到 了 应 用 。 


9.1.1 P2P 定义 


P2P 正人 处 于 不 断 发 展 的 阶段 ,因而 并 不 存在 一 个 精确 的 定义 。 当 前 给 出 
的 许多 定义 都 是 试图 反映 P2P 系统 发 展 过 程 中 的 某 阶段 的 新 特征 。 下 面 是 
有 关 文 献 给 出 的 一 些 P2P 定义 。 

Clay Shirkey: P2P 是 一 种 利用 位 于 Internet 边缘 的 各 种 可 用 资源 (如 存 
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储 空间 .计算 能 力 、 媒 体内 容 ) 的 应 用 。 访 问 这 些 分 散 的 资源 ,就 意味 着 要 在 连接 不 稳定 和 
IP 地 址 不 可 预见 的 环境 里 工作 。 由 于 网 络 上 大 量 的 节点 工作 在 DNS 系统 之 外 ,这 些 分 散 
的 资源 具有 不 稳定 的 连通 性 和 未 知 的 IP 地 址 。 因 此 ,P2P 节点 必须 能 够 独立 于 DNS 系统 
HAE E ISO, 

Mike Miler: P2P 是 一 个 网 络 体系 ,其 中 每 个 计算 机 有 同等 能 力 和 责任 。Miler 定义 了 
五 个 关键 特性 9 ， 

CD. 网 络 提供 节点 间 实 时 的 数据 传输 或 者 消息 传递 。 

(2) 节点 即 是 客户 端 又 是 服务 器 。 

(3) 网 络 的 内 容 是 由 分 布 的 节点 提供 。 

(4) 节点 具有 网 络 控制 权 和 自治 权 。 

(5) 网 络 允许 不 总 是 连接 的 节点 和 可 能 没有 永久 TP 地 址 的 节点 参与 。 

P2P 工作 组 : P2P 是 通过 在 系统 之 间 直 接 交 换 来 共享 计算 机 资源 和 服务 。 这 些 资源 和 
服务 包括 信息 交换 、 高 速 缓 存 、 处 理 能 力 、 存 储 空 间 。P2P 可 以 整合 这 些 经 济 的 PC 上 计算 
机 和 网 络 连接 ,从 而 提供 企业 级 的 计算 平台 09 。 

一 般 地 说 ,P2P 是 一 个 用 于 资源 共享 的 peer 群体 ,其 中 每 个 peer 向 群体 提供 资源 同时 
作为 回报 从 中 获取 所 需 资源 。 它 的 思想 是 基于 世界 上 的 事物 是 广泛 分 布 且 相 互联 系 的 ,不 
可 能 通过 一 种 集中 化 的 方式 管理 如 此 庞大 的 结构 。P2P 通过 分 布 于 世界 各 地 的 个 人 计算 机 
管理 大 量 的 计算 能 力 、 存 储 空间 和 连接 。P2P 中 的 每 个 peer 自治 又 彼此 依赖 ,所 谓 自 治 是 
指 每 个 peer 独立 决定 自己 的 行为 而 不 受 其 他 例如 集中 式 授权 机 构 的 控制 ,同时 每 个 peer 
又 需要 相互 协作 获得 信息 资源 、 计 算 资源 ,在 本 书 中 把 每 个 peer 称 为 节点 ,并 把 peer 所 组 
成 的 网 络 称 为 释 加 网 络 (overlay network). 


9.1.2 P2P 系统 的 分 类 


P2P 系统 具有 多 种 分 类 标准 。 我 们 仅 选 取 分 散 度 和 网 络 结构 9" 中 作为 分 类 标准 ,因为 
我 们 认为 它 恰 当地 反映 了 P2P 系统 的 本 质 特征 的 归 类 。 

分 散 度 表示 P2P 系统 中 节点 在 进行 相关 信息 搜索 时 依赖 目录 服务 器 的 程度 。 它 有 三 
种 情况 : 完全 分 散 、 部 分 分 散 、 混 合 分 散 。 完 全 分 散 的 情况 下 ,所 有 节点 都 是 平等 的 ,没有 任 
何 一 个 会 比 其 他 一 个 更 重要 些 ,不 存在 目录 服务 器 ; 部 分 分 散 的 情况 下 ,一 些 所 谓 的 超级 节 
点 充当 了 部 分 目录 服务 的 功能 以 及 改善 系统 性 能 ; 混合 分 散 的 情况 下 ,整个 系统 依赖 于 一 
个 或 者 非常 少 的 不 可 替代 的 节点 提供 集中 式 的 目录 服务 ,而 系统 内 其 余 的 节点 ,具有 彼此 等 
同 的 功能 。 

网 络 结构 是 从 拓扑 透视 的 角度 来 看 系统 , 它 表 示 P2P 系统 的 覆盖 网 络 结构 是 受 某 种 机 
制约 束 还 是 完全 动态 、 即 时 的 。 前 者 为 结构 化 ,后 者 为 非 结构 化 。 非 结构 化 P2P 系统 中 对 
等 节点 连接 任意 其 他 对 等 节点 构成 对 等 网 络 ,数据 放置 与 网 络 拓扑 无 关 , 系 统 中 每 一 个 节点 
只 负责 管理 自己 的 数据 文件 ,从 而 它 的 网 络 拓扑 是 一 个 随机 连接 图 ,不 能 保证 一 定 可 以 找到 
目标 节点 。 结 构 化 P2P 系统 的 网 络 有 某 种 预定 的 结构 如 环 或 者 网 格 ,系统 中 每 一 个 数据 文 
件 所 放 署 位 置 由 特定 的 协议 确定 ,并 提供 了 文件 标识 ID 和 文件 存储 位 置 之 间 的 映射 关系 ， 
从 而 保证 具有 有 效 路 由 ,并 能 够 保证 最 终 找到 目标 节点 。 
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结构 化 系统 采用 分 布 式 哈 希 表 (Distributed Hash Table,DHT) 技 术 构 造 ,其 本 质 是 完 
全 分 散 构造 。 因 此 ,本 书 仅 对 非 结 构 化 系统 区 分 分 散 度 情 况 。 当 前 的 系统 中 Chord, CAN、 
Pastry 和 Tapestry 是 结构 化 P2P 系统 。 而 非 结 构 化 根据 分 散 度 区 分 为 以 下 三 种 系统 : 

(1) Napster 是 混合 分 散 的 非 结构 化 P2P 系统 。 

(2) Gnutella、Freenet 是 完全 分 散 的 非 结 构 化 P2P 系统 。 

(3) Kazza 和 Morpheus 是 部 分 分 散 的 非 结 构 化 P2P 系统 。 根 据 此 标准 ,P2P 系统 的 划 
分 如 图 9-1 所 示 。 
完全 分 散 的 非 结构 化 


(Gnutella, Freenet) 


构 部 分 分 散 (Kazza) 
a 
] 混合 分 散 (Napster) 
P2P 系 统 


m CAN . Tapestry > Pastry) 


图 9-1 P2P 系统 分 类 


9.1.3 P2P 系统 的 发 展 


在 网 络 和 分 布 领域 中 ,术语 P2P 是 一 个 相对 新 的 名 词 。 自 从 1999 年 Napster 出 现 及 
2000 年 P2P 成 为 研究 热点 3 ,P2P 系统 得 到 迅速 发 展 。 本 节 按 时 间 出 现 的 先后 顺序 ,将 
P2P 系统 的 发 展 大 致 分 为 二 代 。 每 一 代 都 有 其 显著 的 特征 : 第 一 代 网 络 结构 为 非 结构 化 ， 
第 二 代 网 络 结构 为 结构 化 ; 第 一 代 特 点 是 采用 泛 洪 的 不 确定 性 查询 ,第 二 代 特 点 是 采用 基 
于 分 布 式 哈 希 表 的 确定 性 查询 。 在 此 ,我 们 仅仅 给 出 一 个 轮廓 般 的 介绍 ,以 刻画 出 其 发 展 的 
轨迹 ,详细 介绍 请 参考 第 2 童 。 

1. 第 一 代 P2P 系统 

第 一 代 P2P 系统 是 以 非 结构 化 为 特征 。 它 是 伴随 文件 共享 应 用 Napster? m FF 4610] . 
Napster 的 主要 贡献 是 介绍 了 一 种 新 型 的 网 络 体系 ,这 种 体系 不 同 于 传统 的 客户 端 /服务 器 
架构 ,而 是 让 计算 机 间 借 助 一 中 心服 务 器 可 以 自由 通信 交流 。 在 某 种 程度 上 ,计算 机 既是 资 
源 的 消费 者 又 是 资源 的 提供 者 ,因而 术语 peer 更 适合 表示 系统 内 的 参与 者 的 对 等 情况 。 为 
了 在 共享 空间 定位 文件 , Napster 的 解决 途径 是 提供 了 一 个 中 心目 录 服 务 器 。 因 而 ， 
Napster 系统 由 两 种 服务 组 成 : 存储 服务 和 目录 服务 。 存 储 服务 是 分 布 的 ,采用 了 P2P 风 
格 , 而 目录 服务 是 集中 式 的 ,因此 它 是 一 种 混合 分 散 构造 。 但 Napster 仅 是 短暂 存在 , 它 的 
体系 结构 中 集中 式 的 目录 服务 是 个 关键 性 问题 。 首 先 , 它 存在 单 点 故障 问题 ; 其 次 ,尽管 目 
录 服 务 提供 了 定位 的 低 开销 ,但 是 目录 服务 器 上 的 负载 也 是 随 参与 者 数目 线性 增长 ,从 而 使 
得 它 是 不 可 扩展 的 。 

Napster 集中 目录 服务 器 瓶颈 导致 P2P 新 系统 设计 关注 于 如 何 减少 这 种 集中 目录 服 
务 , 即 趋向 更 高 的 分 散 度 。Gnutellar5 和 Freenetce 是 新 的 系统 代表 ,它们 是 完全 分 散 的 非 
结构 化 系统 。 这 些 系统 中 新 的 参与 者 必须 知道 一 个 已 经 参与 系统 的 成 员 , 然 后 使 用 一 种 泛 


146 


无 线 自 组 织 网 络 和 对 等 网 络 原理 与 安全 


洪 算 法 去 得 到 关于 别 的 参与 者 的 情况 ,以 建立 邻居 关系 表 。 而 对 于 一 个 给 定 的 查询 ,也 是 采 
用 泛 洪 算法 。 查 询 请 求 节 点 先 将 此 请 求 泛 洪 到 它 的 所 有 邻居 ,然后 wa 
洪 操作 ,直至 查询 发 现 。 为 了 防止 泛 洪 过 度 ,请 求 包 附 加 上 TTL 限制 值 。 当 此 TTL 值 为 0 
时 ,查询 立即 终止 。 

新 的 系统 解决 了 集中 瓶颈 问题 。 然 而 ,可 扩展 问题 却 更 为 严重 。 这 是 由 于 泛 洪 算 法 带 
来 了 高 的 网 络 流量 ,此 研究 可 发 现在 WH。 而 且 , 由 于 搜索 范围 受到 限制 ,不 能 够 确定 性 的 
发 现存 在 Gnutella 网 络 中 的 一 个 数据 项 或 者 一 个 资源 文件 。Freenet 采用 了 一 个 略 好 些 的 
方案 , 它 是 基于 文档 路 由 模型 。 它 利用 哈 希 技术 给 数据 项 唯一 标识 ID。 当 数据 项 插入 系统 
时 是 尽 可 以 插入 到 具有 与 它 的 标识 最 接近 的 节点 。 查 询 是 由 数据 项 的 标识 所 引导 定位 的 。 
但 由 于 Freenet 网 络 的 随机 特性 ,发 现 文档 的 概率 并 不 高 

一 些 系 统 在 混合 分 散 和 完全 分 散 做 了 折 中 ,采用 了 部 分 分 散 机 制 ,如 KaZaA, 
KaZaA 采用 超级 节点 (super peer) 技 术 , 人 允许 一 些 节点 充当 目录 服务 从 而 减少 了 需要 定位 
数据 的 泛 洪 消息 数 。 尽 管 如 此 ,查询 仍然 是 不 确定 的 泛 洪 方式 。 

2. 第 二 代 P2P 系统 

第 二 代 的 P2P 系统 是 以 结构 化 为 特征 , 它 是 由 Chord?? , CANC? , Pastry?! 、Tapestry52 
等 开始 的 ,系统 是 完全 分 散 组 织 。 在 这 些 系统 中 ,一 个 共有 的 关键 特性 是 基于 分 布 式 哈 希 表 
机 制 。 在 这 些 系统 中 ,节点 通过 它 的 一 些 唯一 性 属性 如 TP 地 址 哈 希 得 到 唯一 标识 ID。 数 
据 项 (data item) 是 以 键 值 对 二 key, value 过 的 方式 表示 ,其 中 键 是 对 于 数据 项 的 索引 ,而 值 
可 以 是 数据 项 的 定位 地 址 如 IP 或 者 URL。 通 过 哈 希 赋予 数据 索引 键 以 唯一 标识 ,并 将 此 
键 对 应 的 键 值 插入 与 此 键 标识 最 邻近 的 节点 。 注 意 ,节点 和 键 的 哈 希 空间 是 相同 的 。 查 询 
时 ,通过 将 查询 的 键 哈 希 得 到 唯一 标识 ,并 通过 此 唯一 标识 找到 与 之 最 邻近 的 节点 (此 节点 
存储 了 数据 项 所 在 的 地 址 ) 。 为 了 支持 基于 标识 (ID) 的 查找 ,节点 将 哈 希 得 到 的 ID 空间 组 

织 成 一 个 结构 化 的 拓扑 如 Chord "P ff] # (circle), CAN 中 的 超 环 (torus)、Tapestry 的 树 
Cree) 。 由 于 这 种 结构 化 拓扑 ,使 得 数据 查找 具有 可 确定 性 , 即 数 据 只 要 存在 全 加 网 络 上 就 
可 以 以 高 概率 确定 性 查找 到 。 

当前 两 代 P2P 系统 并 存 且 都 得 到 相应 的 发 展 。 它 们 适应 于 不 同 的 方面 , 互 为 补充 。 第 
一 代 系 统 在 文件 共享 等 并 不 需要 确定 性 的 查询 结果 的 领域 会 有 更 广阔 的 前 途 。 因 为 非 结 构 
a 由 度 ,在 最 大 限度 减少 对 P2P 系统 的 影 

。 第 二 代 系 统 极 大 拓展 了 P2P 系统 的 应 用 领域 ,使 P2P 系统 成 为 分 布 计算 的 一 个 良好 的 
es Internet 应 用 的 基础 。 这 是 由 于 采用 分 布 式 哈 希 表 在 完全 分 布 的 
环境 下 具有 高 度 确定 性 和 高 度 容错 的 特性 ,因而 它 能 够 更 好 的 适应 大 多 数 分 布 式 应 用 的 
要 求 。 


9.2 分 布 式 哈 希 表 与 P2P 系统 


9.2.1 分 布 式 哈 希 表 简 史 和 技术 原理 


分 布 式 哈 希 表 是 作为 可 扩展 的 分 布 式 数据 结构 (Scalable Distributed Data Structure, 
SDDS) 在 20 世纪 90 年 代 得 到 广泛 研究 的 ,其 中 术语 SDDS 是 在 Litwin 等 的 经 典 论文 C9 提 
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出 的 。 但 是 ,这 些 分 布 喻 希 表 有 中 心 部 件 , 设 计 面向 的 是 小 规模 的 集群 。 面 向 大 规模 集群 的 
分 布 式 哈 希 表 由 Gribble 等 [中 采用 Java 实现 ,具有 高 度 可 扩展 、 容 错 和 可 用 性 。 

分 布 式 哈 希 表 技术 应 用 到 对 等 网 络 是 在 2001 年 。 一 系列 的 基于 分 布 式 哈 希 表 的 P2P 
系统 C2- 纹 被 提出 。 这 些 系 统 采用 分 布 式 哈 希 技术 能 够 支持 上 百 万 的 机 器 动态 参与 ,具有 高 
度 的 可 扩展 性 和 容错 性 。 目 前 ,基于 分 布 式 哈 希 表 技 术 构造 的 P2P 系统 已 经 成 为 P2P 研究 
的 一 个 重要 内 容 。 

下 面 简 单 介绍 一 下 PP 系统 中 分 布 式 喻 希 表 技术 原理 。 

哈 希 表 是 计算 机 科学 里 常见 的 数据 结构 , 它 能 够 根据 索引 的 关键 码 值 快速 查找 记录 。 
它 通常 提供 了 两 种 基本 功能 : put 和 get 操作 ,也 就 是 put(key. value) , value= getC key) . H. 
平均 查找 时 间 为 常量 度 O(1)。 分 布 式 哈 希 表 是 哈 希 表 的 分 布 式 构造 ,将 哈 希 表 由 单个 节点 
扩展 到 Internet 上 。 由 于 分 布 式 哈 希 表 是 布置 在 整个 Internet 上 ,put 和 get 操作 需要 借助 
于 分 布 路 由 而 实现 。 哈 希 表 与 分 布 哈 希 表 的 对 照 如 表 9-1 所 示 。 

表 9-1 哈 希 表 与 分 布 哈 希 表 对 照 


哈 od 表 分 布 式 哈 希 表 


Key=hash(data) Key=hash(data) 
Put(key, value) Lookup(key) — >node_IP 
Get(key) — — value Route(node_IP, put, key, value) 


Route(node_IP, get, key) — > value 


在 P2P 系统 中 是 怎样 采用 分 布 式 哈 希 表 实 现 资源 定位 呢 ? 

具体 方法 是 首先 将 网 络 中 的 每 一 个 节点 分 配 虚拟 地 址 标识 (nodeld) ,同时 用 一 个 关键 
字 Key 来 表示 其 可 提供 的 共享 内 容 。 取 一 个 哈 希 函数 ,这 个 函数 可 以 将 Key 置换 成 一 个 哈 
希 值 H(key)。 网 络 中 节点 相 邻 的 定义 是 哈 希 值 相 邻 。 发 布 信息 的 时 候 就 把 (key,nodeId) 
二 元 组 发 布 具有 和 H(key) 相 近 地 址 的 节点 上 去 ,其 中 nodeld 指出 了 文档 的 存储 位 置 。 资 
源 定位 的 时 候 ,就 可 以 根据 H(key) 相 近 的 节点 快速 获取 二 元 组 (key,nodeld) ,从 而 获得 文 
档 的 存储 位 置 。 不 同 的 DHT 算法 决定 了 P2P 网 络 的 好 辑 拓扑 ,比如 CAN 是 一 个 超 环 ,而 
Chord 是 一 个 环 ,Tapestry 是 树 状 。 

分 布 式 哈 希 表 提 供给 P2P 系统 设计 以 非常 简洁 高 效 的 接口 ,然而 ,在 实际 应 用 中 ,分 布 
哈 希 表 的 设计 要 考虑 如 下 三 个 关键 问题 : 

。 唯一 性 : 哈 希 函数 必须 避 开 碰撞 或 者 碰撞 概率 非常 小 以 至 忽略 不 计 。 

* 动态 性 : 哈 希 函数 必须 能 够 支持 节点 动态 加 入 和 离开 的 一 致 性 。 

。 合理 尺寸 : 哈 希 表 必 须 能 够 支持 可 扩展 性 ,不 能 在 单个 节点 上 占用 太 大 的 空间 。 

对 于 第 一 个 问题 ,可 以 通过 定义 一 个 固定 的 足够 大 的 哈 希 空间 ,从 而 所 有 哈 希 值 落 在 此 
空间 而 不 依赖 节点 的 数目 ,从 而 在 静态 或 者 动态 下 能 够 避 开 碰撞 。 对 于 第 二 个 问题 通常 采 
用 的 是 一 致 性 哈 希 方案 。 一 致 性 喻 希 最 初 是 由 MIT 的 Karger 等 中 引入 以 解决 分 布 Cache 
中 的 热点 问题 ,目前 已 经 被 扩展 到 很 多 领域 ,特别 是 P2P 计算 中 。 一致 性 哈 希 是 哈 希 中 的 
一 种 ,但 它 具 有 如 下 特性 以 适应 动态 分 布 的 应 用 : 

。 可 扩展 性 。 
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。 负载 均衡 。 

° 平滑 性 。 

这 些 特性 可 以 很 好 的 适应 动态 性 下 的 哈 希 正确 性 和 一 致 性 。 对 于 第 三 个 问题 ,解决 的 
方法 是 将 整个 哈 希 表 均 匀 分 布 到 各 节点 上 ,每 一 节点 负责 它 在 哈 希 空间 标识 邻近 的 键 值 。 
因而 需要 结构 化 的 拓扑 组 织 以 支持 哈 希 表 的 分 布 及 路 由 。 故 分 布 式 哈 希 表 构 造 是 一 种 结构 
化 的 拓扑 构造 。 


9.2.2 基于 分 布 式 哈 希 表 的 P2P 系统 /DHT-P2P 系统 


DHT 技术 对 于 P2P 系统 设计 有 革命 性 的 影响 。 由 于 DHT 支持 具有 有 序 的 、 高 可 扩 
展 、 可 确定 性 查找 的 结构 化 拓扑 ,超越 了 之 前 的 随机 、Ad hoc 的 非 结构 拓扑 ,涌现 了 一 大 批 
的 新 型 P2P 系统 如 CANC? Chord") , Tapestry’ , Pastry!) , Kademlia"? , Symphony"?! , 
Viceroy“) ,Koorde?? , P-Grid?? ^g , (X26 zc pe KI DHT 技术 作为 其 设计 基础 。 由 于 
节点 和 数据 都 是 通过 分 布 式 喻 希 组 织 成 一 个 释 加 网 络 , 从 而 这 些 系 统 被 称 为 基于 DHT 的 
P2P 系统 ,一 些 文献 也 简称 为 DHTs 或 者 DHT。 为 了 明确 和 简化 ,本 文 称 之 为 DHT-P2P 
系统 ,在 不 至 于 混淆 情况 下 ,本 文中 也 称 之 为 DHT 系统 。 

如 上 节 所 述 ,DHT-P2P 系统 中 每 个 节点 负责 一 定 范围 的 键 值 。 生 加 网 中 的 节点 既 能 
够 存储 资源 本 身 ,也 可 能 仅 存储 资源 的 地 址 指针 ,取决 于 算法 需要 。DHT-P2P 系统 的 路 由 
是 通过 贪 焚 算 法 逐步 通 近 具有 在 metric 空间 最 近 距 离 的 目标 节点 ,这 个 metric 空间 取决 于 
系统 的 拓扑 组 织 结构 。 


9.2.3 DHT-P2P 系统 特性 


DHT-P2P 系统 是 结构 化 系统 , 相 比 较 非 结 构 化 系统 , 它 提供 了 几 个 很 好 的 特性 : 

CD 搜索 不 需要 依赖 于 泛 洪 机 制 , 因 此 造成 较 小 的 网 络 流量 ,大 部 分 DHT-P2P 系统 中 
每 个 查询 都 只 是 需要 O(log 个 消息 和 跳 数 。 

(2) 每 个 查找 请 求 都 能 以 很 高 的 概率 解析 ,并 且 所 需要 的 资源 消耗 是 可 预测 的 ,而 在 非 
结构 化 系统 里 如 果 所 请 求 的 文档 超越 了 查找 所 能 覆盖 的 范围 则 查询 失败 ,而 且 即 使 查找 成 
功 其 资源 消耗 也 不 可 预测 。 

(3) 搜索 结果 是 确定 性 的 。 一 方面 结构 化 拓扑 数据 只 要 存在 全 加 网 络 上 就 可 以 以 高 概 
率 确定 性 查找 到 ,而 非 结 构 化 受 TTL 限制 易 查 找 失败 ; 另 一 方面 查找 结果 也 有 确定 性 ,而 
在 非 结 构 化 系统 中 ,不 同 的 节点 提交 同样 的 搜索 请 求 时 很 可 能 获得 的 结果 也 不 同 。 

由 于 DHT-P2P 系统 这 些 的 特性 ,使 得 它 特别 适合 Internet 分 布 应 用 ,引起 学 术 界 的 高 
度 重视 。 


9.3 P2P 系统 的 典型 代表 


本 节 对 每 一 代 的 典型 系统 进行 介绍 ,以 刻画 出 当代 P2P 系统 的 特征 。 
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9.3.1 第 一 代 P2P 系 统 

1. Napster 

Napster 是 第 一 个 公众 使 用 的 P2P 系统 。 它 采用 一 个 中 心服 务 器 维护 一 个 (文件 名 ,IP 
地 址 的 ) 索 引 对 ,并 且 保 持 跟踪 系统 里 所 有 音乐 文件 的 定位 ,如 图 9-2(a) 所 示 。 当 一 个 用 户 
想 要 一 个 特定 的 音乐 文件 时 , 它 查 询 服务 器 得 到 存放 这 个 音乐 文件 的 机 器 IP 地 址 ,并 从 这 
台 机 器 那里 下 载 此 音乐 文件 。 文 件 的 传输 是 分 布 式 并 且 独 立 于 中 心 索引 服务 器 。 这 种 简单 
途径 的 一 个 潜在 的 问题 是 缺乏 可 扩展 性 。 然 而 , 如果 能 够 采用 大 规模 服务 器 集群 ,如 
Google 和 Yahoo, 则 可 以 达到 相当 大 的 可 扩展 性 。 尽 管 如 此 ,由 于 集群 系统 需要 相当 大 的 
投资 在 高 性 能 机 器 和 高 的 带宽 等 ,因而 并 不 适用 于 P2P 网 络 。 此 外 ,这 种 途径 也 不 是 容错 
的 ,存在 单 点 故障 。 

FIRST-LEVEL 


"M NEIGHBORS 
IP4 A[IP2] CENTRAL 
B Blips | INDEX 
es 4 [ M REQUESTING pice : 
j 
fV CENTRAL - T2328 BEER 
IPI |G (C | SERVER | .-- 
x 1 x^ wn 
N / " AS n RESOURCES hn H 
NA. 1 
A p+ 7 7 =| MIIPS TRANSFER / 
1P2 A LL 
(h) Napster (b) Gnutella 
SUPER 


(c) KaZaA/Morpheus 


图 9-2 Napster.Gnutella 和 Morpheus/KaZaA 系统 图 


2. Gnutella 


Gnutella’? As AX X f f fi FE 4) i 5X (09 . VE I Az 3 uL JE 4) AG KY. Gnutella 采用 泛 洪 
(flooding) 定 位 资源 ,如 图 9-2(b) Fas. Gnutella 建立 了 一 个 网 络 , 其 中 每 个 机 器 都 连接 到 网 
络 中 的 一 部 分 其 他 机 器 ,这 些 机 器 被 称 为 邻居 。 例 如 ,每 台 机 器 都 知道 它 的 邻居 的 IP 地 址 并 
能 够 与 它们 进行 通信 。 当 机 器 发 起 查询 时 , 它 是 通过 向 它 的 所 有 邻居 集 发 送 此 查询 请 求 , 而 
它 的 邻居 继续 重复 此 操作 向 它们 自己 的 邻居 集 发 送 查 询 请 求 , 直 至 资源 找到 。 这 种 设计 避 
JF f. Napster 的 中 心服 务 索引 器 ,使 得 资源 查找 是 分 布 式 。 然 而 ,从 技术 角度 来 看 ,这 并 不 
是 一 种 可 扩展 的 方案 。 因 为 它 对 于 每 个 请 求 而 言 都 生成 了 太 多 的 通信 流量 (communication 
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traffic)59 。 因 此 , 泛 洪 需要 采用 TTLCTime To Live) 来 控制 流量 。 但 是 ,这 又 产生 一 个 现 
象 是 ,尽管 在 TTL 为 0 查询 中 止 时 的 下 一 跳 可 能 就 是 想 要 的 资源 ,资源 发 现 仍 将 失败 。 也 
就 是 说 ,对 于 资源 确实 是 存在 网 络 上 的 情况 ,由 于 资源 处 于 请 求 节点 的 查询 范围 外 (也 许 仅 
仅 是 在 TTL 查询 中 止 的 下 一 跳 ) , 它 仍 然 是 不 可 存 取 的 。 

3. Morpheus/KaZaA 


Gnutella 的 泛 洪流 量 太 大 ,系统 如 同 Morpheus? fil KaZa AU? 4388 iE HK MAY 5 019 
来 减轻 泛 洪 流量 ,如 图 9-2(c) 所 示 。 在 这 些 系 统 中 ,本 地 节点 形成 一 个 组 ,并 选 出 一 个 超级 
节点 代表 它们 参与 网 络 资源 的 共享 。 所 有 超级 节点 组 成 一 个 到 加 网 络 。 组 内 查询 只 需 
查询 本 组 超级 节点 , 仅 当 超级 节点 没有 发 现时 ,超级 节点 才 将 此 请 求 传递 给 别 的 超级 节点 
来 进一步 查询 ,由 于 查询 具有 本 地 性 (locality) ,从 而 使 得 查询 更 加 有 效 。 超 级 节点 是 那些 
具有 更 高 带宽 、 磁 盘 空 间 和 处 理 能 力 的 节点 ,通过 它 来 缓存 meta-data 从 而 提高 搜索 效率 。 
普通 节点 把 其 要 共享 的 文件 的 meta-data 上 载 到 超级 节点 。 在 超级 节点 之 间 使 用 类 似 于 
Gnutella 的 广播 搜索 机 制 , 由 于 超级 节点 的 数量 较 少 ,所 以 网 络 流量 不 至 于 过 大 产生 类 似 于 
Gnutella 的 不 可 扩展 问题 。 但 是 这 个 方法 仍然 消耗 大 量 带宽 以 使 得 超级 节点 维持 本 区 域内 
的 普通 节点 的 meta-data。 因 此 尽管 它 修正 了 泛 洪 的 一 些 问题 ,这 种 途径 仍然 是 内 在 的 不 可 
扩展 。 

4. Freenet 

Freenet? f£ — PETF Java 的 跨 平 台 分 布 式 文件 存储 系统 , 相 比 于 非 结 构 化 的 其 他 系 
统 , 其 最 大 的 特点 就 是 匿名 。 文 件 的 发 布 者 .查询 者 包括 文件 的 持 有 者 在 Freenet 中 都 是 匿 
名 的 。 为 了 实现 匿名 ,Freenet 在 路 由 上 降低 了 效率 ,路 由 中 的 每 个 节点 不 能 判断 前 一 个 节 
点 是 否 是 文件 的 请 求 者 、 也 不 能 判断 后 一 个 节点 是 否 是 文件 的 持 有 者 。 

为 了 查询 一 个 文件 ,用户 必须 首先 得 到 或 者 计算 对 应 此 文件 的 二 进 制 文件 键 (binary 
file key, 通 过 160 位 的 SHA-1 哈 希 对 文件 描述 串 计 算得 到 ) ,然后 发 送 包 括 文件 键 和 TTL 
值 的 请 求 。 当 节点 收 到 请 求 后 ,首先 本 地 匹配 ,匹配 成 功 则 返回 应 答 。 如 匹配 失败 , 则 在 其 
路 由 表 中 查找 与 请 求 键 最 接近 的 键 ,并 把 请 求 递交 到 相应 的 节点 。 如 果 请 求 最 终 匹 配 成 功 
上 且 返回 数据 ,数据 将 在 请 求 路 径 上 逆向 转发 ,沿途 每 个 节点 在 本 地 缓存 该 数据 ,并 在 路 由 表 
里 创建 关联 实际 数据 源 和 该 文件 键 的 表 项 ,以 后 对 该 文件 的 请 求 将 从 本 地 缓存 中 立刻 得 到 
满足 。 

如 果 由 于 目标 节点 失败 或 者 查询 路 径 循环 出 现 导 致 某 节点 转发 给 下 游 节点 的 请 求 失 
Wt ,该 节点 使 用 第 二 最 近 的 文件 键 , 然 后 第 三 最 近 文 件 键 , 依 此 类 推 。 如 果 节 点 尝试 了 路 
由 表 中 的 所 有 节点 均 失 败 ,就 给 上 游 节点 报告 转发 失败 消息 ,上 游 节点 同样 对 路 由 表 中 
各 个 节点 进行 尝试 。 如 果 到 达 TTL 极限 ,文件 请 求 失 败 消息 向 后 返回 到 文件 请 求 者 并 
不 再 尝试 。 

Freenet 中 查询 文件 的 一 个 示意 如 图 9-3 所 示 。 

Freenet 中 没有 明确 实现 某 个 具体 节点 负责 某 部 分 文档 ,查找 采用 的 是 搜索 文件 副本 的 
方式 ,因此 可 以 提供 某 种 程度 的 匿名 ,但 是 不 保证 一 定 能 找到 在 网 络 中 存在 的 文档 ,并 且 降 
低 了 路 由 效率 。 
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7 LA weit 


L^ 
T. = 
47 ”= 数据 回应 
mne ——— ——- Gr 数据 回应 
12 a dy 
/ + 一 = 失败 的 请 求 
f 
因为 节点 拒绝 已 经 遇 到 过 的 ju POL 
数据 请 求 ， 从 而 此 请 求 失败 $ 1 107 
1 4 
|. 


图 9-3 Freenet 中 查询 一 个 文件 中 


9.3.2 第 二 代 P2P 系统 


本 节 介 绍 经 典 的 DHT-P2P 系统 ,突出 它们 的 主要 设计 部 分 和 功能 特点 。 

1. CAN 

伯 克 立 和 AT&T 设 计 了 基于 DHT 的 查找 和 路 由 算法 CANC, CAN 通过 在 现 有 的 
网 络 之 上 抽象 出 一 至 加 网 (overlay network) ,将 其 中 所 有 节点 映射 到 一 个 HE AY TE Ls 
间 中 ,并 为 每 个 节点 尽 可 能 均匀 的 分 配 一 块 区 域 (zone), 如 图 9-4 所 示 。CAN 采用 的 哈 希 
函数 通过 对 (key,value) 对 中 的 key 进行 哈 希 运算 ,得 到 第 卡 儿 空 间 中 的 一 个 点 ,并 将 (key， 
value) 对 存储 在 拥有 该 点 所 在 区 域 的 节点 内 。CAN 采用 的 路 由 算法 相当 直接 和 简单 ,知道 
目标 点 的 坐标 后 ,就 将 请 求 传 给 当前 节点 邻居 中 坐标 最 接近 目标 点 的 节点 。CAN 是 一 个 具 
有 良好 可 扩展 性 的 系统 ,给 定 nn 个 节点 ,系统 维 数 为 d, 则 路 由 路 径 长 度 为 OC02 7 ) ,每 节点 
状态 信息 和 网 络 规模 无 关 为 O(d) 。 


(0.5—0.75, 0.5-1.0) 


(0-0.5,0.5-1.0)" D 7 E 
7 / (0.75-1.0, 0.5-1.0) 
2 Z 
S20 MAPS ONE 
7 
A YB 
(0-0.5, 0-0.5) (0.5-1.0, 0.0-0.5) 
0.0 4 j 
0.0 1 1.0 


N 
节点 a 的 虚拟 坐标 区 
图 9-4 CAN 中 拥有 5 个 节点 的 二 维 空间 拓扑 3 


一 个 新 节点 加 入 网 络 时 ,首先 哈 希 该 节点 到 全 加 网 坐标 空间 的 一 个 点 ,然后 拥有 此 坐标 
的 区 域 分 割 为 两 半 , 并 将 其 中 一 半分 配给 此 新 节点 。 分 割 的 维 向 是 在 所 有 可 能 的 维 向 中 采 
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用 一 种 固定 的 round-robin 方式 而 选择 的 。 失 败 节点 的 处 理 也 采用 同样 的 方式 ,也 就 是 合 
并 失败 邻居 的 区 域 。 不 同 的 附加 设计 改善 有 : 多 坐标 空间 改善 数据 可 用 性 ,每 个 区 域 多 个 
节点 和 多 哈 希 函数 改善 容错 等 。 

2. Tapestry 

Tapestry ii T. PRRO fli Lii], PRR 是 一 种 支持 又 加 网 络 对 象 定位 和 消息 路 由 的 
算法 ,但 它 基 于 理想 的 静态 环境 ,并 且 没 有 提供 很 好 的 负载 均衡 。 在 PRR 算法 中 ,节点 通过 
一 次 纠正 一 位 的 方式 递交 查找 请 求 , 所 以 节点 匹配 自己 标识 符 的 每 一 个 前 级 而 下 一 位 不 同 
的 邻居 信息 。 对 于 个 节点 的 系统 ,每 个 节点 有 O(log 个 邻居 ,由 于 每 跳 纠 正 一 位 ,所 有 
路 由 路 径 为 O(log Mik, PRR 算法 的 路 由 过 程 如 图 9-5 Bros 。 


图 9-5 PRR 路 由 示例 
TE: 节点 0325 到 节点 4598 的 路 由 过 程 由 粗 线 标识 ,Tapesry 和 Pastry 都 是 基于 PRR 算法 [3 


图 9-5 所 示 的 路 由 算法 具有 如 下 特性 : 如 果 知道 n? 个 节点 的 延迟 (或 者 是 某 种 度量 )， 
节点 能 够 选择 邻居 节点 以 最 小 化 平均 路 径 延 迟 且 保 证 两 节点 间 释 加 路 径 延 迟 在 物理 路 径 延 
IBN RAF ZA. 

PRR 服务 器 S 通过 路 由 消息 给 对 象 O 的 “ 根 节 点 ”声明 它 有 对 象 O。 根 节点 是 网 络 中 
的 用 来 放置 嵌入 式 树 根 的 唯一 节点 。 发 布 节点 的 过 程 包括 发 送 消息 给 根 节点 ,在 路 径 上 的 
每 一 跳 , 节 点 存放 消息 中 的 二 ObjectID(O) ,Server-ID(CS) 二 映射 信息 。 该 映射 信息 是 对 服 
务 器 S 上 存放 的 对 象 O 的 指针 ,而 不 是 对 象 O 本 身 。 当 多 个 对 象 存在 时 ,中 间 路 径 上 节点 
只 存放 最 近 对 象 的 映射 。 

在 PRR 的 查询 请 求 中 ,客户 把 对 对 象 O 的 查询 请 求 发 给 O 的 根 节点 ,在 每 一 跳 ,如 果 
消息 遇 到 包含 对 象 O 的 映射 信息 的 节点 ,立刻 重 定向 到 包含 O 的 服务 器 。 否 则 消息 一 直 递 
交 到 根 以 确保 找到 对 象 O 的 映射 。 

Tapestry 为 适应 P2P 网 络 的 动态 特性 ,做 了 很 多 改进 。Tapestry 的 路 由 和 定位 机 制 和 
Plaxton 很 相似 ,不 同 的 是 Plaxton 中 当 有 多 个 对 象 备份 时 节点 将 查询 路 由 到 距离 其 最 近 的 
根 节点 ,而 Tapestry 的 根 节点 存储 了 所 有 的 备份 的 映射 信息 以 提高 语义 灵活 性 。 除 此 之 
外 ,为 了 适应 动态 的 环境 ,Tapestry 增加 了 额外 的 机 制 实现 了 网 络 的 软 状态 ,并 提供 了 自 组 
织 、 鲁 棒 性 、 可 扩展 性 和 动态 适应 性 , 当 网 络 高 负载 且 有 失效 节点 时 候 性 能 有 限 降低 ,消除 了 
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对 全 局 信息 的 依赖 、 根 节点 易 失 效 性 和 弹性 差 的 问题 。 
3. Pastry 


Pastry?) th dt F PRR' 当 路 由 机 制 ,但 不 同 于 Tapestry 的 是 它 采用 了 基于 后 缀 的 路 
由 代替 了 基于 前 缀 路 由 。 在 Pastry 中 ,每 个 节点 分 配 一 个 128 位 的 节点 标识 符号 (node_id) ,所 
有 的 节点 标识 符 形成 了 一 个 环形 的 node id 空间 ,范围 为 0~2” 一 1, 节 点 加 入 系统 时 通过 
喻 希 节 点 IP 地 址 在 128 位 node id 空间 中 随机 分 配 。 

Pastry 中 节点 的 路 由 状态 包括 三 部 分 : Pii de RIESE M 和 叶子 集 工 。 

节点 的 路 由 表 由 [logzz | 行 ,每 行 有 2 一 1 个 入口 的 表 项 组 成 。 行 n 的 2 一 1 个 人口 指 
向 其 node id 和 当前 节点 的 node id 共享 前 位 但 第 十 1 位 不 同 的 2? 一 1 个 表 项 。 值 5 的 
选择 考虑 了 路 由 表 的 长 度 和 路 由 跳 数 的 权衡 ,bp 越 大 则 路 由 跳 数 少 但 需 维护 的 路 由 信息 多 。 

邻居 集 M 包含 了 同 本 地 节点 最 接近 (根据 proximity metric) ff] | M | 个 节点 ,不 用 于 路 
由 转发 而 用 于 保证 locality 特性 。 

叶子 集 L 是 [L/2 | 个 其 node id 最 接近 且 大 于 本 地 节点 node_id 的 节点 和 [ 工 /2 | 个 其 
node id 最 接近 且 小 于 本 地 节点 node_id 的 节点 集合 ,典型 的 |L| 和 |M| 值 是 2 Al 2% 2”, 

给 定 一 key, 节 点 首先 检查 该 key 是 否 落 在 叶子 集 范围 内 ,如 是 则 直接 把 查询 请 求 递交 
到 叶子 集中 node_id 最 接近 该 关键 字 的 节点 ,查询 结束 ; 如 在 叶子 集 范围 之 外 , 则 节点 把 查 
询 请 求 首先 转发 到 其 node_id 和 key 共享 的 位 数 比 本 地 node_id 和 key 共享 的 位 数 至 少 长 
一 位 的 节点 ,如 果 不 存 在 该 节点 则 转发 到 共享 位 数 一 样 长 但 node id 比 本 地 node. id 数值 上 
更 接近 key 的 节点 。 

HE n AT AR Pastry 全 加 网 络 中 ,路 由 一 个 消息 需要 O(log nn) 步 ,每 节点 需要 维持 
O(log n ^AN ,而 且 Pastry 路 由 具有 locality 特性 。 

4. Chord 

麻 省 理工 学 院 设计 了 一 种 分 布 式 的 可 扩展 的 查找 和 路 由 协议 Chord") ,Chord 通过 将 
(key,value) 对 中 的 key( 如 文件 名 ) 和 网 络 节点 分 别 进 行 哈 希 ,并 将 哈 希 值 映射 在 相同 的 值 
空间 ,将 (key,value) 对 存储 在 最 接近 key 的 喻 希 值 的 节点 上 。 一 般 来 说 ,Chord 1f n AWA 
哈 希 (采用 一 致 性 哈 希 5 ) 到 具有 log n 位 的 标识 环 上 。 每 个 节点 x 存储 指向 它 的 直接 后 续 
Successor( 沿 环 顺 时 针 方 向 的 最 近 节点 )。 它 也 维护 一 个 有 log n 个 表 项 的 指针 表 (finger 
table), $ i 表 项 存储 并 十 2 一 的 后 续 标 识 。 图 9-6 是 一 个 有 三 个 节点 的 Chord 标识 环 示意 
图 。Chord 路 由 算法 采用 了 类 似 二 分 查找 的 方法 ,每 次 查找 发 送 的 消息 数 为 O(log n). fa 
定 状 态 下 ,在 一 个 nn 节点 的 系统 中 ,每 个 节点 需要 维持 O(log nn) 个 其 他 节点 信息 ,解析 查找 
需要 O(log nn) 个 消息 。 当 节点 加 入 和 离开 系统 时 ,Chord 为 维持 路 由 信息 一 致 性 最 多 发 送 
Otlog; 0) 个 消息 。 当 路 由 信息 不 一 致 时 ,性 能 只 有 限 降 低 。 在 节点 加 入 离开 频繁 的 P2P 网 
络 , 每 个 节点 只 需要 更 新 少量 信息 就 可 保证 正确 的 路 由 查询 。 为 了 容错 ,每 个 节点 可 维护 一 
个 后 续 链 代替 单个 后 续 。 动 态 节点 加 入 与 离开 的 性 能 分 析 可 见 C] 。Chord 的 特点 是 简单 、 
可 以 证 明 的 协议 正确 性 和 良好 的 性 能 。 


9.3.3 新 型 DHT-P2P 系统 简介 
本 节 介绍 基于 DHT 设计 的 新 型 P2P 系统 。 这 些 设计 大 致 展示 了 当前 的 最 新 技术 和 方 
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图 9-6 拥有 三 个 节点 0.1 和 3 的 Chord 标识 环 


向 。 从 拓扑 结构 特征 可 归 为 两 类 : 
COD 新 型 确定 性 拓扑 构造 ; 
(2) 随机 化 拓扑 构造 。 
确定 性 与 随机 化 的 拓扑 的 主要 区 分 指 路 由 表 中 是 否 存在 随机 链 构造 。 
1. 新 型 确定 性 拓扑 构造 


典型 系统 如 CAN „Chord, Pastry, Tapestry 都 是 确定 性 拓扑 。 在 此 之 后 ,研究 探索 了 将 
DHT 布置 于 不 同 的 拓扑 图 结构 中 ,从 而 实现 了 * 常 量度 路 由 效率 ”9 及 增强 的 一 些 特性 。 

1) Kademlia 

Kademlia®” Bi} 5j Chord Be HAL {CAT — ARE. EAE J Fed np pd s e EL E 
或 作为 距离 度量 (metric) ,这 点 使 得 任意 两 节点 具有 对 称 的 距离 ,区 分 开 Chord 的 不 对 称 距 
离 。 另 外 ,这 种 网 络 结构 也 使 得 每 个 节点 能 够 从 一 定 范围 内 的 节点 里 选择 邻居 ,从 而 网 络 更 
具有 容错 性 ,并 且 可 选 节点 的 增多 也 使 系统 能 够 更 好 地 适应 网 络 的 动态 改变 。 

2) P-Grid 

P-Grid55 分 布 数据 在 一 个 虚拟 二 又 树 图 结构 。P-Grid 树 中 节点 位 置 由 节点 在 树 中 的 
路 径 决 定 。 树 中 每 个 节点 含有 一 个 路 由 表 , 其 中 每 一 路 由 项 指向 同 层 中 一 个 与 该 节点 在 其 
某 路 径 位 上 与 该 节点 具有 相反 值 的 节点 。 查 询 采 用 基于 前 级 的 路 由 。P-Grid 提供 一 定 的 
本 地 性 (locality) 支 持 ,但 由 于 层次 性 ,节点 存在 负载 不 均衡 。 

3) SkipNet 

SkipNet0559 利 用 了 跳 表 (SkipList) 图 结构 。 所 有 节点 以 它 所 在 的 定位 区 域 (domain) 名 
被 排序 ,然后 以 跳 表 方式 形成 统一 的 结构 化 拓扑 。 此 外 ,在 节点 所 属 定位 区 域内 的 所 有 节点 
以 DHT 方式 连接 且 资 源 一 致 性 分 布 在 此 区 域内 。SkipNet 提供 了 两 阶段 搜索 ,首先 是 在 名 
字 空 间 以 跳 表 方式 搜索 ,然后 在 区 域内 以 DHT 方式 搜索 。SkipNet 有 三 种 特性 : 路 径 本 地 
化 ,内 容 本 地 化 ,有 限 负 载 均 衡 性 。 


O 常量 度 路 由 效率 是 指 具有 O(1) 常 量度 路 由 状态 ,但 达到 O(log nn) 网 络 路 径 长 的 路 由 效率 。 
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4) Koorde 

Koord"? H 84 St fi F de Bruijn A, BER WA — A t RR Dubia bi 并 连接 到 
标识 为 5-16.-。…b10 AUDA bi bios Y 的 两 节点 。 它 提供 了 ”常量 度 路 由 ”,z 增 大 有 
利于 改善 容错 。 


2. 随机 化 拓扑 构造 

Viceroy 是 第 一 个 随机 化 DHT 拓扑 。 随 机 化 拓扑 的 特点 是 具有 较 好 的 拓扑 动态 适应 
性 及 更 好 的 路 由 状态 效率 。 随 机 化 拓扑 有 三 个 不 确定 性 源 55 ， 

CD. 节点 总 数 不 能 够 精确 知道 。 

© 节点 标识 不 是 一 致 性 均匀 分 布 。 

@ 不 同 节点 有 不 同 的 随机 选择 。 

1) Viceroy 

Viceroy Yi 4} FA butterfly 网 络 。 它 的 拓扑 是 一 个 具有 前 趋 和 后 续 两 条 基 
本 链 的 双向 环 并 且 具 有 5 条 随机 链 ( 通 过 一 定 概率 选择 长 链 )。 它 具有 常量 度 路 由 效率 , 即 
O(1) 链 可 达到 O(log nn) 路 径 长 。 

2) Symphony 

Symphony" fij fe, T Chord 环 的 链接 (link) ,仅仅 用 两 个 基本 链 和 一 条 随机 链 共 三 条 链 
就 代替 了 Chord 环 的 log n 条 链 。 两 个 节点 u 和 w 间 存 在 一 条 链接 的 概率 与 此 两 节点 间 的 
距离 成 反比 。 它 实际 形成 一 个 small world 网 络 ,具有 较 优 的 路 由 效率 ,在 2k 十 2 条 链 下 ,可 
达到 O((log?n)/k) 网 络 路 径 长 。 


9.3.4 比较 与 分 析 


本 节 对 于 前 述 P2P 系统 进行 比较 和 分 析 。 首 先 对 于 两 代 P2P 系统 归纳 比较 如 表 9-2 
所 示 。 
表 9-2 两 代 对 等 系统 性 能 比较 


性 能 特征 第 一 代 第 二 代 
路 由 模式 TTL 限制 的 泛 洪 DHT 

可 扩展 性 zx 好 

确定 性 搜索 不 可 可 

查询 路 数 不 定 O(log n) 

空间 开销 常量 (3 一 7) 常量 一 O(log n) 


iE: n 是 系统 内 节点 数量 ,log n B logo n. 


由 表 9-2 可 知 ,第 一 代 系 统 采用 泛 洪 路 由 机 制 ,从 而 可 扩展 性 差 , 查 询 具 有 不 确定 性 ; 
相 比 之 下 ,第 二 代 系统 基于 分 布 哈 希 表 路 由 机 制 ,具有 可 扩展 性 以 及 确定 性 的 查询 性 能 。 此 
外 ,从 表 中 也 可 以 看 到 ,第 二 代 系 统 的 空间 开销 相对 而 言 比较 大 ,因而 常量 度 空间 开销 是 所 
想 要 的 。 

接 下 来 ,对 前 述 的 DHT-P2P 系统 的 路 由 性 能 进行 比较 ( 见 表 9-3) 。 
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表 9-3 不 同 DHT-P2P 系统 的 性 能 比较 


P2P 系统 拓扑 结构 路 由 状态 路 由 路 数 
CAN Torus Old) Qi?) 
Tapestry Plaxton Tree O(log n) O(log n) 
Pastry Plaxton Tree O(log n) O(log n) 
Chord Ring O(log n) Otlog n) 
Kademlia XOR Tree O(log n) O(log n) 
Symphony Randomlized Link 2k+2 OCClog! 1) /&) 
Viceroy Butterfly 7 O(log n) 
Koorde de Bruijn 3 O(log n) 
P-Grid Virtual Binary Tree O(log n) O(log n) 
SkipNet Skip List 2log n O(log n) 


注 ; n 是 系统 内 节点 数 ,d 是 CAN 的 维 数 , 是 Symphony 的 链接 数 ,log n 即 loge n. 


如 表 9-3 所 示 ,DHT-P2P 系统 具有 “常量 度 路 由 效率 ”, 即 系统 路 由 具有 常量 度 路 由 状 
ER O(log nn) 的 路 由 跳 数 的 特性 。 我 们 可 以 从 表 中 了 解 到 ,对 于 DHT-P2P 系统 设计 而 言 ， 
“常量 度 路 由 效率 ”取决 于 其 拓扑 设计 。 

(1) 采用 特殊 图 结构 如 Koorde。 

(2) 采用 随机 化 拓扑 如 Viceroy。 因 而 ,研究 可 从 这 两 方面 进行 更 多 的 努力 。 此 外 , 综 
合 现 有 的 DHT-P2P 系统 的 性 能 分 析 , 目 前 最 好 的 路 由 状态 效率 (可 参考 9. 5. 1 节 ) 是 在 
O(1) 状 态 下 达到 O(log 2 效率 ,因此 我 们 提出 相应 的 一 个 开放 问题 : 在 O(1) 的 低 限 状 态 
上 ,超越 O(log n) 效 率 是 否 可 行 ? 各 相关 方面 的 性 能 又 将 如 何 ? 


9.4 DHT-P2P 的 典型 应 用 


P2P 系统 有 广泛 的 应 用 如 普及 计算 59 ,协同 工作 55 .即时 通信 59 、 资 源 共 享 中 、 分 布 存 
HBO) ,信息 检索 中 等 。 本 节 所 想 强调 的 是 DHT 技术 的 特别 适用 应 用 ,所 以 仅 选 择 出 作者 
认为 重要 的 而 且 具 有 DHT 技术 应 用 特色 的 领域 。 


9.4.1 广域网 络 存储 


传统 网 络 存储 采用 集群 方式 需要 高 容量 高 性 能 服务 器 ,是 一 笔 很 大 投资 ,而 且 缺 乏 本 地 
特性 ,可 扩展 性 受 很 大 限制 。P2P 技术 提供 了 经 济 的 .具有 本 地 特性 、 灵 活 方便 的 可 扩展 功 
能 ,因而 受到 极 大 关注 。 特 别 是 为 了 保障 网 络 中 存储 的 资源 能 够 确定 性 查找 ,基于 DHT 的 
P2P 系统 方案 是 一 个 重要 的 选择 。 目 前 大 部 分 P2P 网 络 存储 是 基于 DHT 技术 。 下 面 介绍 
典型 的 网 络 存 储 应 用 。 

OceanStore?! 提供 了 全 球 范围 内 的 一 致 性 数据 存储 ,采用 Tapestry 作为 底层 的 路 由 机 
制 。 它 可 以 自动 从 服务 器 和 网 络 的 失效 中 恢复 ,并 可 以 混合 使 用 新 的 资源 和 适应 不 同 的 使 
JHW. PASTU 是 Rice 大 学 和 微软 研究 院 的 联合 研究 项 目 , 它 是 大 规模 协同 的 分 布 文件 
存储 ,提供 可 扩展 性 、 可 用 性 ,安全 性 和 协同 资源 共享 ,采用 Pastry 作为 它 的 路 由 机 制 。 它 
的 存储 特性 是 文件 所 有 者 可 以 发 布 也 可 以 收回 文件 的 存储 ,提供 的 是 一 致 性 存储 。CFS5 
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是 MIT 的 研究 项 目 , 它 提 供 了 一 致 性 的 分 布 协同 文件 存储 ,采用 Chord 作为 它 的 路 由 机 制 。 
从 文件 系统 的 可 读 写 角度 看 ,PAST 系统 仅 支 持 只 读 ,CFS 基本 上 是 只 读 文件 系统 ,但 也 存 
在 粗 粒 度 的 修改 , 即 文件 所 有 者 可 以 修改 ,而 其 余 只 能 读 。 因 此 ,可 读 写 的 文件 存储 系统 是 
进一步 的 研究 。IVY! 外 是 MIT 最 近 的 项 目 成 果 , 它 是 一 个 多 用 户 可 读 写 P2P 文件 系统 , 基 
于 Chord 通信 子 层 ,适合 广 域 的 小 型 协作 组 。IVY 使 得 这 些 组 避 开 了 集中 式 文 件 服务 器 所 
固有 的 可 靠 性 和 信任 问题 。 一 个 IVY 文件 系统 只 由 一 组 log 组 成 ,每 一 个 用 户 对 应 一 个 
log。 每 一 参与 者 通过 协商 所 有 log 查询 数据 ,但 是 修改 则 只 是 修改 自己 所 有 的 log。 这 种 
安排 使 得 IVY 可 以 不 通过 锁 机 制 而 维护 元 数据 的 一 致 性 。 当 底层 网 络 是 满 连 接 时 ,IVY 提 
{it NFS-like 传统 语义 ,如 close-to-open 一 致 性 ; 当 网 络 分 区 时 ,DHASH 层 的 复制 使 得 修 
改 可 在 分 区 内 进行 ,并 借助 每 一 log 所 具有 的 version 实现 分 区 合并 时 的 一 致 性 。 
Mnemosyne“! FE EF Tapestry 的 安全 存储 系统 ,存储 的 文件 仅 合 法 的 用 户 能 够 存 取 它们 ， 
而 攻击 者 不 能 够 得 到 它们 的 内 容 。 文 件 被 加 密 存 取 且 通过 编码 技术 如 Erasure Code? 保 
证 了 容错 性 。 


9.4.2 网 页 发 布 和 缓存 


传统 网 页 发 布 和 缓存 是 由 高 性 能 服务 器 提供 的 ,存在 flash crowd 问题 5] 。P2P 技术 
可 以 通过 缓存 在 各 peer 的 缓存 而 减轻 请 求 热点 ,并 且 使 得 网 页 可 以 在 全 球 节点 共同 提供 ， 
减轻 了 对 服务 器 的 依赖 。DHT 技术 特性 使 得 定位 自主 ,不 必 依 赖 协调 器 的 定位 服务 (如 
YouServ™"?) ,有 更 大 的 可 扩展 性 和 灵活 性 。 

Squirrel E — 3E F Pastry 的 分 散 式 的 P2P 网 页 缓存 。 系 统 聚 集 所 有 本 地 缓存 
(cache) 形 成 一 个 全 球 可 扩展 的 网 页 缓存 ,而 且 并 不 需要 附加 的 维护 开销 或 者 硬件 投资 。 实 
验 结果 表明 开发 这 样 的 一 个 系统 不 仅仅 是 可 行 的 ,而 且 比 特定 的 网 页 服务 器 有 更 多 的 益处 。 

Coral? AK AEF DHT 的 网 页 内 容 分 发 系统 。 节 点 有 责任 存储 和 复制 网 页 内 
容 。 所 有 节点 的 缓存 协同 工作 ,任何 时 候 都 尽 可 能 将 所 需要 内 容 从 邻近 节点 得 到 ,从 而 使 得 
提供 网 页 的 最 初 服务 器 上 负载 最 小 化 以 及 尽 可 能 减少 了 客户 端的 延迟 。 


9.4.3 组 通信 


由 于 DHT-P2P 系统 中 采用 连通 图 拓扑 来 组 织 节点 ,因而 适合 将 它 这 种 结构 化 特性 用 
于 组 通信 。 

Pastry 已 经 被 使 用 作为 Scribe"? 的 基础 。Scribe 是 一 个 事件 通知 体系 用 于 基于 主题 的 
出 版 /订阅 系统 。 订 阅 者 注册 他 感 兴趣 的 主题 并 接收 相关 与 这 主题 的 事件 。 一 个 多 播 树 用 
于 维护 每 个 相关 于 一 个 会 合 点 (rendezvous, 如 释 加 网 上 一 个 最 接近 主题 标识 的 节点 ) 的 主 
题 。 每 个 树 是 通过 加 入 从 订阅 者 到 特定 主题 的 路 由 所 组 成 。 

DHT-P2P 系统 也 在 应 用 层 广 播 外 以 及 应 用 层 多 播 * 趾 得 到 应 用 ,特别 是 应 用 层 多 播 。 
应 用 层 多 播 , 顾 名 思 义 就 是 在 应 用 层 实 现 多 播 功 能 而 不 需要 网 络 层 的 支持 。 这 样 就 可 以 避 
免 出 现 由 于 网 络 层 迟 迟 不 能 部 署 对 多 播 的 支持 而 使 多 播 应 用 难以 进行 的 情况 。 应 用 层 多 播 
需要 在 参加 的 应 用 节点 之 间 实 现 一 个 可 扩展 的 ,支持 容错 能 力 的 琶 加 网 络 ,而 大 规模 哈 希 表 
查找 机 制 正好 为 应 用 层 多 播 的 实现 提供 了 良好 的 基础 平台 。 当 前 有 两 种 途径 用 于 多 播 : 智 
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能 泛 洪 (intelligent flooding) 和 多 播 树 (multicast tree) 。 前 者 用 于 基于 CAN 的 M-CAN“4, 
后 者 用 于 Scribe) 和 SplitStreamU? ,它们 都 是 基于 Pastry。 两 种 途径 在 相同 的 工作 负载 下 
的 比较 显示 多 播 树 比 泛 洪 途 径 性 能 优越 3。 


9.4.4 名 字 服 务 


DHT 机 制 通过 哈 希 得 到 的 键 值 对 的 方式 及 处 理 使 得 它 非常 适用 于 名 字 服 务 系统 ,使 
之 具有 高 效 、 准 确 .高 可 扩展 等 特性 。 

简单 分 布 式 安全 体系 (Simple Distributed Security Infrastructure,SDSI) 是 一 个 已 提出 
的 公 钥 体系 ,其 中 名 字 定 义 在 本 地 的 名 空间 (namespace) 并 且 长 文件 名 能 够 链接 多 个 名 空 
间 来 代理 使 用 认证 的 信任 。ConChordr 引 是 一 个 基于 Chord 的 分 布 式 SDSI 认证 目录 服务 ， 
用 于 多 名 空间 的 名 字 解 释 和 成 员 检验 ,检查 一 个 认证 对 于 一 个 特定 的 钥 (key) 是 否 可 用 。 
DHash 4t Chord 作为 提供 DNS 服务 的 一 个 可 选 服务 结构 ,DNS 中 的 (主机 名 ,地 址 ) 对 
通过 DHT 技术 能 够 以 分 布 式 方式 存储 ,从 而 有 利于 减轻 DNS 树 结构 查找 的 负载 不 均衡 、 
根 节 点 瓶颈 等 问题 。 


9.4.5 信息 检索 


搜索 引擎 是 目前 人 们 在 网 络 中 信息 检索 的 主要 工具 。 目 前 的 搜索 引擎 如 : Google, 
Yahoo 等 都 是 集中 式 的 搜索 引擎 。 这 种 信息 搜索 方式 是 一 种 被 动 的 搜索 方式 。 用 户 不 能 够 
主动 将 自己 的 信息 发 布 到 搜索 引擎 上 ,也 不 能 够 保持 搜索 引擎 所 采集 数据 的 实时 性 。P2P 
技术 能 够 提供 一 种 主动 的 ,实时 性 、 高 扩展 性 的 信息 检索 ,开辟 了 信息 检索 新 方向 。DHT 
技术 相 比较 其 他 非 结构 化 具有 在 确定 性 使 得 信息 能 够 以 一 种 确定 的 高 效 方式 定位 ,从 而 引 
起 特别 的 关注 。 

文献 [55] 较 为 全 面 地 讨论 了 构造 P2P 搜索 引擎 所 要 面 对 困 难 , 并 做 出 了 可 行 性 分 析 。 
特别 是 对 于 基于 DHT 技术 的 全 文本 网 页 搜索 ,提出 了 合理 化 的 技术 建议 和 一 些 创新 的 优 
化 技术 。PeerSearch' 沁 是 第 一 个 具有 分 散 化 确定 性 和 非 泛 洪 的 P2P 信息 搜索 系统 ,可 基 
于 内 容 和 语义 进行 搜索 。PIER"" 提供 了 在 Internet 范围 的 P2P 信息 检索 ,能够 提供 基于 
关系 查询 的 语义 支持 。 


9.5 DHT-P2P 系统 路 由 研究 进展 


路 由 算法 是 P2P 系统 的 核心 ,算法 的 优 劣 直接 关系 到 P2P 系统 的 核心 性 能 如 可 扩展 
性 ,可 靠 性 、 可 用 性 等 。Sylvia Ratnasamy?? SE A fe i325 Uf; fj DHT-P2P 路 由 算法 的 基础 
之 上 提出 了 结构 化 对 等 网 络 面临 的 “十 五 个 问题 "*。 这 些 问 题 体 现在 五 个 方面 : 状态 效率 折 
中 ,容错 性 、 路 由 热点 ,物理 网 络 匹 配 和 异 构 性 。 事实 上 , 它 引 导 了 对 于 DHT 路 由 的 研究 方 
向 ,研究 进展 分 述 如 下 。 


9.5.1 状态 效率 折 中 


Ratnasamy Sylvia 等 c5 fg 2002 年 的 IPTPS 会 议 上 介绍 到 当前 DHT 路 由 有 两 种 模 
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A: (a) 有 一 个 路 由 表 大 小 为 O(log n) 和 网 络 路 径 长 为 O(log n), 比 如 Tapestry, Pastry, 
Chord; (b) 有 一 个 路 由 表 大 小 为 O(1) 和 网 络 路 径 长 为 OC(mw“), 如 CAN。 这 两 种 模式 事实 
上 反映 了 路 由 表 空 间 与 路 由 的 路 径 长 度 的 一 种 互 为 消长 ,Ratnasamy Sylvi 等 称 之 为 路 由 状 
态 效 率 折 中 (routing state-efficiency tradeoff) ,其 中 状态 指 路 由 表 所 需要 维护 的 邻居 状态 数 
目 , 效 率 指 路 由 路 径 长 度 所 代表 的 路 由 效率 。 一 个 重要 的 开放 性 问题 是 一 一 是 否 能 够 实现 
结合 以 上 两 种 模式 优点 的 状态 效率 存在 : O(1) 的 邻居 数 和 O(log n) 的 路 径 长 ? 这 也 被 称 为 
“常量 度 ”" 路 由 问题 。 该 问题 引起 了 研究 领域 极 大 的 兴趣 ,吸引 了 科研 工作 者 对 此 的 深入 研 
究 。 最 近 已 有 一 批 常 量度 路 由 算法 陆续 被 提出 ,这 些 算 法 设计 利用 了 不 同 拓扑 几何 的 特性 
如 de Bruijn , Comb) 支持 常量 度 路 由 。 但 是 ,Jun Xu 等 分析 也 指出 ,拥塞 可 能 是 这 
些 路 由 算法 的 突出 问题 。 此 外 ,不 同 的 研究 方法 也 涌现 。 如 传统 构造 默认 路 由 表 的 分 布 一 
致 性 (uniform) ,然而 文献 [61] 采 用 不 规则 路 由 表 , 根 据 节 点 的 能 力 来 划分 路 由 责任 对 于 状 
态 效率 的 研究 是 一 种 较为 新 颖 的 方法 。 利 用 节点 的 社会 链 关系 "中 及 随机 路 由 算法 9 也 
是 状态 效率 研究 的 新 方法 。 由 于 状态 效率 对 于 P2P 系统 的 性 能 具有 本 质 性 影响 ,时 至 今 
日 ,状态 效率 折 中 的 研究 仍然 是 方兴未艾 。 


9.5.2 容错 性 


由 于 节点 在 P2P 系统 内 自由 加 入 和 离开 ,因而 容错 性 显得 特别 重要 。 一 方面 ,系统 要 
在 面 对 路 由 节点 失效 或 者 离开 时 ,能 够 仍然 保证 路 由 可 行 性 和 正确 性 ; 另 一 方面 ,在 大 规模 
失败 时 ,网 络 可 能 由 于 节点 间 完 全 失去 连接 ,形成 孤岛 现象 , 称 为 分 区 (partion) ,这 种 分 区 
现象 也 要 处 理 好 。 对 于 前 者 的 评估 ,Sylvia Ratnasamy 提出 static resilience HE. static 
resilience 是 指 当 节点 失败 并 没有 时 间 让 别 的 节点 重建 别 的 邻居 作为 补偿 时 ,也 就 是 说 邻居 
节点 知道 一 个 节点 失败 了 但 并 不 与 别 的 节点 建立 任何 新 的 邻居 关系 时 ,路 由 的 可 行 性 及 效 
率 。 这 个 问题 在 文献 [64] 中 得 到 了 较 好 的 回答 。 文 献 [64] 认 为 static resilience 与 路 由 
Geometry 密切 相关 和 环 结构 对 于 static resilience 有 效 , 此 外 还 区 分 路 由 表 的 邻居 为 规则 和 
持续 两 类 ,其 中 持续 邻居 对 于 static resilience 更 有 效 。 相 似 的 结论 出 现在 文献 [65] ,不 过 ， 
此 时 是 将 规则 和 持续 这 两 类 对 应 为 长 链 和 短 链 ,并 通过 随机 过 程 理 论 分 析 和 实验 得 出 短 链 
对 于 static resilience 有 更 重要 的 影响 。 文献 [66j 建 立 了 考虑 有 一 半 系 统 内 节点 失效 时 系统 
的 重建 过 程 的 分 析 模 型 ,文献 [67] 利 用 SkipNet 的 特性 考虑 分 区 问题 ,但 目前 如 何 有 效 处 理 
大 规模 失败 的 问题 仍然 是 一 个 open question, 


9.5.3 路 由 热点 


路 由 热点 是 指 当 存 有 资源 的 节点 受到 太 多 请 求 时 ,此 节点 的 出 入 路 由 流量 太 大 ,引起 所 
谓 “ 热 点 ”问题 , 即 路 由 拥塞 ,节点 由 于 负载 过 重 而 反应 不 过 来 。 路 由 热点 的 解决 方案 一 方面 
可 以 通过 有 效 的 复制 和 缓存 策略 *' 四 ,以 分 流 对 于 热点 资源 的 请 求 , 另 一 方面 的 重点 是 采 
用 负载 均衡 技术 。 在 DHT 中 ,负载 均衡 可 采用 虚拟 服务 器 (virtual server) 的 方法 ,根据 节 
点 的 能 力 分 配 负载 ,如 Chord"? 。 在 文献 [69] 中 基于 Chord 进一步 考虑 了 虚拟 服务 器 根据 
动态 负载 的 情况 进行 迁移 (transfer) 的 技术 。 其 技术 要 点 是 重 载 节点 将 一 些 虚 拟 服务 器 迁 
移 到 轻 载 节点 ,并 考虑 了 总 体 性 能 的 均衡 ,而 文献 [70.71] 则 继续 对 于 减少 迁移 的 开销 做 了 
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一 些 改进 和 相应 的 理论 分 析 。 文 献 [72] 采 用 的 the power of two 技术 ,在 喻 希 发 布 文档 时 
就 将 文档 索引 项 采用 多 个 哈 希 函数 进行 多 个 节点 存储 ,并 在 查询 时 随机 选取 一 个 存储 节点 
进行 定位 路 由 ,从 而 较 好 地 均衡 了 负载 。 


9.5.4 物理 网 络 匹配 


物理 网 络 适应 指 的 是 三 加 网 络 应 尽 可 能 与 物理 网 络 相 匹配 以 减少 节点 通信 开销 和 路 由 
延迟 。 目 前 的 研究 主要 是 从 两 个 互 为 补充 方向 进展 : 

CD 利用 Internet 的 层次 信息 如 自治 系统 AS IP 前 缀 进行 拓扑 适应 构造 ,这 是 一 种 直 
接 与 物理 网 络 匹配 的 方法 。 

eCAN 79 ff Bj BGP 表 来 引导 路 由 ,使 得 节点 通信 本 地 化 ,减少 通信 开销 和 路 由 延迟 。 
而 文献 [75] 利 用 IP. 前 级 使 得 路 由 充分 利用 Internet 层次 信息 ,并 模拟 路 由 层 的 最 短路 径 算 
法 以 匹配 物理 网 络 。 文 献 [76] 提 出 一 种 Sloppy 哈 希 技术 以 支持 邻近 路 由 。 文 献 L[77] 则 是 
根据 节点 的 IP 时 延 将 又 加 拓扑 组 织 成 多 个 层次 ,路 由 根据 时 延 由 短 到 长 的 层次 进行 ,以 尽 
可 能 减少 整体 通信 时 延 。 这 些 方 式 与 物理 网 络 的 匹配 性 都 是 需要 在 设计 时 就 考虑 好 ,主要 
是 基于 从 加 拓扑 构造 的 方法 。 

(2) 采用 路 由 选择 技术 ,这 是 一 种 间接 与 物理 网 络 匹配 的 方法 。 

DHT 路 由 选择 技术 有 三 种 Cs 。 

CD 邻近 邻居 选择 (Proximity Neighbor Selection, PNS) , 即 在 路 由 表 构 造 时 ,节点 选择 
与 该 节点 邻近 (比如 时 延 较 短 ,物理 位 置 靠近 ) 的 节点 作为 邻居 。 这 种 优化 策略 是 能 使 路 由 
跳 转 充分 选择 节点 的 物理 邻近 节点 进行 ,从 而 使 得 路 由 间接 与 物理 网 络 匹 配 。 该 技术 依赖 
于 节点 在 依 此 构造 路 由 表 时 能 够 不 影响 总 体 路 由 跳 数 的 自由 度 。 在 基于 前 绥 的 协议 中 ( 例 
如 Tapestry 和 Pastry) ,路 由 表 的 上 层 允 许 更 自由 的 选择 ,而 下 层 的 选择 自由 度 呈 指数 下 
跌 。 因 此 ,第 一 跳 的 平均 延迟 非常 低 而 随 着 每 一 跳 指 数 增加 ,最 后 一 条 的 延迟 决定 着 整个 查 
找 过 程 的 延迟 。 该 类 方法 有 好 的 延迟 伸展 ` 负 载 平衡 和 本 地 路 由 收敛 特 性 5 ,但 是 该 类 方 
法 不 支持 如 CAN 和 Chord 这 类 要 求 在 路 由 表 中 明确 指出 标识 空间 下 一 个 节点 标识 的 
DHT 算法 。 

© 邻近 路 由 选择 (Proximity Routing Selection. PRS) , 即 在 路 由 时 ,选择 与 该 节点 邻近 
的 邻居 作为 下 一 跳 。 这 种 优化 路 由 以 匹配 物理 网 络 的 构造 技术 是 基于 如 果 每 步 都 是 最 短 时 
延 ,那么 总 体 时 延 也 应 该 得 到 优化 的 原理 。 与 PNS 相反 , 它 是 在 路 由 过 程 中 进行 的 动态 选 
择 。 假 设 每 一 跳 都 有 上 个 节点 可 供 选 择 , 则 每 一 跳 的 平均 延迟 可 以 从 原来 的 网 络 中 任意 两 
个 节点 延迟 的 平均 值 减 少 到 网 络 中 任意 一 个 节点 到 其 他 任意 & 个 节点 延迟 最 小 值 的 平均 
值 , 所 获得 的 性 能 提高 同 & 的 大 小 成 正比 , 增 大 的 值 意味 着 每 个 节点 路 由 表 的 增 大 ,从 而 
需要 更 多 的 资源 消耗 以 维持 链接 。 除 此 之 外 ,一 味 考虑 选择 延迟 最 低 的 节点 转发 查询 也 可 
能 导致 路 由 人 逻辑 跳 的 数目 变 大 。 

© 邻近 标识 选择 (Proximity Identity Selection, PIR) , 即 在 新 节点 加 入 时 ,节点 标识 产 
生 与 节点 所 在 的 物理 位 置 相关 。 它 的 原理 是 基于 如 果 标 识 与 物理 布置 相关 ,那么 在 以 标识 
为 基础 的 又 加 网 的 路 由 就 能 够 尽 可 能 接近 以 IP 为 基础 的 物理 网 的 路 由 。Landmark55 f£ 
术 广 泛 应 用 于 PIR. 其 方法 是 取 m 路 标 ,然后 每 个 加 入 的 节点 通过 ping 3X m 路 标 得 到 的 值 
排列 成 m 位, 即 为 节点 标识 。 由 于 此 标识 反映 了 与 痉 路 标的 物理 位 置 关 系 , 因 此 ,将 标识 与 
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OM A AK, Brocade) SEF PIR 的 路 由 技术 。eCAN55 也 采用 了 这 种 技术 。 文 
献 [80] 中 实现 PIR 路 由 , 它 采 用 了 一 种 基于 Landmark 的 binning scheme 技术 来 接近 底层 
物理 网 的 路 由 。 然 而 ,该 方法 有 很 多 缺点 : 首先 , 它 破 坏 了 标识 空间 的 均匀 分 布 ,在 全 加 网 
中 造成 了 严重 的 负载 不 平衡 问题 。 其 次 ,由 于 映射 算法 的 限制 ,该 方法 在 一 维 空间 中 
(Chord, Tapestry 和 Pastry) 工 作 效 果 较 差 。 再 次 ,标识 空间 中 相 邻 的 节点 由 于 物理 也 相 
邻 ,容易 造成 并 发 失败 ,而 由 于 在 Chord 和 Pastry 这 样 的 系统 中 节点 在 邻居 中 复制 数据 , 因 
此 也 易 造 成 安全 和 重 棒 性 隐患 。 

以 上 三 种 方法 中 ,PRS 是 最 轻 量 级 的 方法 ,但 是 性 能 受到 & 的 限制 , 升 高 k 值 同时 导致 
县 加 拓扑 的 维护 耗费 更 大 。 文 献 [64] 实 验 试验 结果 表明 ,PNS 方法 的 性 能 优 于 PRS, 但 受 
限于 一 些 明 确 下 一 跳 的 DHT 算法 (如 Chord), PIS 具有 较 好 的 平均 每 跳 延 迟 ,但 是 该 种 方 
法 导致 严重 的 负载 不 平衡 并 需要 高 维 标识 空间 才能 有 效 。 


9.5.5 SHE 


当前 结构 化 P2P 系统 清晰 或 者 不 清晰 地 假定 所 有 节点 在 资源 (网 络 带宽 存储 和 CPU) 
是 一 致 分 布 的 。 消 息 在 释 加 网 路 由 时 并 不 考虑 参与 节点 的 能 力 差异 。 然 而 ,测量 研究 表明 
P2P 系统 有 极 大 的 异 构 性 3 ,并 且 由 于 一 部 分 节点 非常 有 限 的 能 力 瓶 颈 可 能 引起 路 由 算法 
失效 。 因 此 ,将 节点 异 构 性 考虑 进去 。 利 用 异 构 性 可 以 分 配 更 多 的 能 力 给 有 高 网 络 带 宽 、 大 
存储 容量 和 好 的 CPU tad 节点, 这些 节 点 也 被 称 为 超级 节点 。 文 献 [83] 中 建立 了 
一 个 超级 节点 虚拟 层 , 并 将 本 地 节 织 成 一 个 以 超级 节 点 为 中 心 的 组 ， 并 采用 两 阶段 的 路 
由 过 程 ,第 一 ee in 点 层 ,第 二 阶段 时 再 将 请 求 路 由 给 超级 节点 所 在 组 
的 目标 节点 。 这 种 方式 可 以 避 开 低能 力 节点 的 瓶颈 ,提高 通信 效率 ,降低 通信 延迟 。 文 献 L[84] 
通过 异 构 节 点 形成 层次 化 DHT 路 由 以 得 到 与 文献 L83] 相 似 的 效果 。 


9.6 DHT-P2P 系统 拓扑 研究 进展 


拓扑 对 于 P2P 系统 性 能 有 重要 的 影响 ,直接 相关 于 路 由 及 查询 性 能 。P2P 拓扑 应 该 能 
够 适应 动态 的 网 络 环境 的 变化 并 与 物理 网 络 有 更 紧密 的 结合 ,增加 P2P 系统 的 适用 范围 和 
提高 P2P 系统 的 性 能 和 效率 。DHT-P2P 系统 提供 了 结构 化 网 络 拓扑 ,目前 的 研究 主要 集 
中 在 以 下 三 个 方面 展开 : 

CD 控制 拓扑 维护 开销 : 增强 DHT 拓扑 的 网 络 动态 适应 性 。 

(2) 层次 化 拓扑 : 克服 DHT 的 平坦 化 结构 ,加 入 现实 中 的 层次 特征 。 

(3) 混合 拓扑 : 结合 结构 化 与 非 结 构 化 拓扑 的 两 种 拓扑 的 优点 。 

这 几 方 面 的 研究 抓 住 了 DHT 技术 本 身 的 特点 ,将 更 好 地 提高 DHT 拓扑 的 适应 性 和 


9.6.1 控制 拓扑 维护 开销 


DHT-P2P 系统 中 由 于 将 节点 和 文件 紧密 布置 在 一 个 结构 化 拓扑 中 ,从 而 敏感 于 结构 
的 动态 变化 。 2T RADA FHWA FO cE 常 进 行 ,维护 拓扑 的 开销 相 
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对 比较 大 ,特别 是 极 动荡 时 可 能 超过 系统 的 控制 。 

节点 不 断 加 入 和 离开 的 过 程 称 为 Churn, 它 对 于 系统 性 能 有 重要 的 影响 。Sean Rhea 
等 文献 [85] 研 究 了 在 Churn 情况 下 性 能 的 影响 因子 ,并 通过 主动 失败 恢复 、 合 理 超时 设置 、 
邻近 邻居 选择 等 技术 较 好 地 控制 了 Churn。Bamboofs5 是 基于 这 些 技术 的 较 好 处 理 了 
Churn 的 一 个 DHT-P2P 系统 。 文 献 [89] 比 较 了 Churn 情况 下 不 同 的 DHT (Tapesty、 
Chord、Kelips、Kademlia) 的 性 能 ,得 出 在 同样 负载 下 ,如 果 参 数 调整 得 足够 好 ,它们 都 具有 
相似 的 性 能 。 然 而 ,参数 的 调整 在 不 同 的 环境 及 协议 下 是 极 不 同 的 ,要 具体 情况 具体 分 析 。 
文献 [87] 建 立 了 节点 开销 模型 以 用 于 观察 系统 的 稳定 性 、 热 点 及 网 络 效率 。 文 献 L[88] 从 路 
由 表 的 构造 上 分 析 了 开销 减少 的 可 能 性 。 文 献 [90] 分 析 了 真实 trace 下 的 拓扑 维护 开销 ， 
并 通过 自 反馈 机 制 来 调整 性 能 ,减少 动态 性 对 于 系统 性 能 的 影响 。 文 献 L[91] 讨 论 了 拓扑 维 


9.6.2 层次 化 拓扑 


DHT 设计 面向 一 个 平坦 (flat) 的 拓扑 。 它 的 优点 是 对 于 所 有 参与 节点 有 全 局 一 致 的 功 
能 分 布 ,并 且 没 有 单 点 故障 。 然 而 ,层次 性 的 缺乏 使 得 特定 系统 的 层次 信息 如 目录 层次 结 
构 、 层 次 缓存 等 丢失 , 且 管 理 较为 困难 。 一 些 研究 者 提出 了 层次 化 拓扑 的 设计 思想 。 
Canon) f&3t T. DHT 的 一 种 层次 化 拓扑 设计 ,不 仅 保持 原 有 DHT 的 状态 路 由 效率 ,而 且 
具有 以 下 5 点 特性 : 

(1) 错误 隔离 ; 

(2) 用 于 多 播 的 有 效 缓存 和 有 效 带 宽 ， 

(3) 匹配 物理 网 络 的 拓扑; 

(4) 层次 化 内 容 存储 ; 

(5) 层次 化 存 取 控制 。 

TerraDir?? fi (It T ER 44 Z l8] Clll DNS s UNIX 文件 系统 名 ) 的 目录 查询 。 它 组 织 节 
点 为 层次 树 结 构 , 父 节点 维护 它 的 子 节点 的 信息 。 为 了 容错 和 减少 查询 延迟 ,缓存 和 复制 在 
系统 中 大 量 使 用 。 文 献 [94] 提 出 了 一 个 通用 的 框架 用 于 PP 全 加 网 络 的 层次 组 织 。 聚 徐 
是 实现 层次 化 的 常用 方式 。 文献 [75] 是 根据 网 络 IP 前 级 进行 分 层次 聚集 的 层次 化 DHT 
设计 。 文 献 [95] 的 观点 是 当前 网 络 物理 拓扑 结构 是 层次 化 ,因而 设计 层次 化 DAT 以 及 更 
好 的 匹配 物理 网 络 和 利用 本 地 的 局 部 特性 。 


9.6.3 混合 拓扑 


混合 拓扑 的 研究 是 新 兴 的 一 个 研究 点 。 因 为 结构 化 和 非 结构 化 各 有 其 优 缺 点 ,因而 设计 
混合 网 络 拓扑 以 综合 两 者 性 能 优点 ,减轻 其 性 能 缺点 ,是 一 种 有 益 的 探索 。Yappercs9 有 一 个 
与 Gnuetlla 相似 的 非 结构 的 网 络 拓扑 ,但 是 引进 哈 希 来 存储 数据 键 。 每 节点 zx 被 分 配 0 种 
颜色 : color(x)=hash(IP(x)) mod0。 每 个 节点 维护 它 的 直接 邻居 (距离 节点 为 一 常量 
的 路 由 跳 数 c 的 节点 ) 信 息 。 资 源 存储 在 颜色 与 资源 键 哈 希 值 (为 一 颜色 ) 匹 配 的 节点 上 , 因 
而 查找 可 限定 在 同 种 颜色 的 节点 上 ,从 而 查询 性 能 得 到 较 大 的 改善 。Kelips"* fE DHT 基 
础 上 引入 集中 式 组 管理 。 其 中 盖 节 点 通过 哈 希 聚 簇 O(sqrt(z)) 仿 射 组 。 每 个 组 内 有 一 超 


163 


第 9 章 ，” 对 等 网 络 及 研究 进展 


级 节点 维护 组 内 所 有 信息 并 由 别 的 组 进行 通信 。 每 个 节点 的 空间 占用 是 OCsqrt(z)) ,路 由 
需要 O(1) 时 间 。 网 络 更 新 消息 采用 gossip 协议 中 传播 。 不 过 ,在 超大 规模 的 P2P 系统 里 ， 
这 种 组 维护 开销 可 能 过 大 。LOO 等 [在 IPTPS04 会 议 提出 一 种 新 的 设计 思想 是 : 结构 化 
适合 定位 查找 稀罕 数据 项 (rare item) ,而 非 结 构 化 适合 定位 查找 流行 数据 项 (popular 
item) ,因而 设计 混合 拓扑 模型 。 网 络 中 一 部 分 为 结构 化 DHT 构造 采用 DHT 方式 定位 索 
引 稀罕 数据 项 , 另 一 部 分 为 非 结构 化 Gnutella 构造 采用 泛 洪 方 式 定位 通用 数据 项 。LOO 等 
的 实验 表明 此 种 混合 方式 使 得 查询 效率 和 可 扩展 性 都 得 到 较 好 的 提高 。 


9.7 DHT-P2P 系统 查询 研究 进展 


查询 是 P2P 系统 中 的 一 个 关键 问题 ,也 是 P2P 系统 最 广泛 的 应 用 。 文 献 [100] 对 于 
P2P 查询 的 问题 做 了 一 个 总 结 ,不 过 目标 是 在 非 结构 化 系统 。 对 于 结构 化 系统 , 它 具 有 与 非 
结构 化 很 不 相同 的 问题 。 最 根本 的 原因 是 由 于 DHT 采用 哈 希 技术 仅 提供 精确 查询 匹配 ， 
使 得 DHT 查询 受到 极 大 的 约束 。DHT 查询 的 前 景 展望 可 参考 文献 [101]。 

DHT 查询 的 研究 主要 从 以 下 几 个 方面 展开 。 它 们 的 目的 是 增强 P2P 查询 能 力 ,从 而 
扩展 P2P 系统 的 应 用 范围 。 

(1) 多 关键 字 查 询 ; 

(2) 模糊 关键 字 查 询 ; 

(3) 复杂 查询 。 


9.7.1 多 关键 字 查 询 


当前 基于 DHT 的 P2P 系统 为 了 能 够 支持 多 关键 字 的 数据 检索 ,一 般 首 先 对 文档 做 索 
引 , 索 引 方式 一 般 采 用 道 序 索 引 (Inverted Index) ,然后 针对 每 个 关键 字 将 (关键 字 , 文 档 标 
识 ) 插 入 到 DHT INA. de P2P 网 络 中 的 逆序 索引 分 布 如 图 9-7 所 示 。 

当 进 行 多 关键 字 组 合 查询 时 ,针对 每 个 关键 
字 , 根 据 DHT 算法 映射 到 存储 该 关键 字 的 相应 节 oo 
点 ,在 该 节点 上 查询 包含 该 关键 字 的 文档 列表 , 然 pen 
后 在 节点 之 间 顺 序 传 送 文档 列表 并 计算 交集 。 显 
然 这 种 检索 机 制 需要 在 网 络 上 传输 大 量 的 中 间 文 "mp: 
档 列表 数据 ,产生 大 量 的 网 络 带 宽 消耗 ,当前 有 许 index 
多 研究 集中 在 如 何 减少 带宽 消耗 以 及 提高 检索 效 
率 。 在 减少 带宽 消耗 方面 ,文献 [102] 采 用 了 图 9-7 P2P 网 络 中 的 逆序 索引 分 布 0 号 
Bloom Filters??? gd] , Wl 9-8 所 示 。 例 如 ,进行 
组 合 查询 A 门 B, 设 关键 字 A 映射 到 节点 A ,关键 字 B 映射 到 节点 BB。 查询 请 求 首先 发 往 节 
点 A 检索 包含 关键 字 A 的 文档 集合 。 在 节点 A 上 检索 到 包含 关键 字 A 的 文档 集合 ,然后 
计算 该 集合 的 Bloom Filter 并 将 结果 F(A) 发 往 节点 B, 节 点 B 检索 本 地 得 到 包含 关键 字 B 
的 文档 列表 ,并 利用 F(A) 计算 出 满足 Bloom Filter 测试 的 B 文档 集 , 记 为 F(A) 门 B, 该 结 
果 集 再 传递 回 给 节点 A, 并 计算 和 A 文档 集 的 交集 ,将 结果 发 送 回 客户 端 。 

如 果 用 户 数 据 检索 的 要 求 允 许 一 定 的 误差 ,在 上 述 过 程 中 ,节点 B 可 以 直接 将 F(A) 门 
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图 9-8 使 用 Bloom Filter 计算 组 合 查询 AN BO! 


B 发 送 给 查询 客户 端 ,这 可 能 会 包含 一 些 * 正 向 错误 ”(false positive, 即 多 包含 了 一 些 不 正确 
的 结果 ),Bloom Filter 的 位 数 越 多 , 正 向 错误 率 越 低 , 但 消耗 的 带宽 越 高 。 

多 关键 字 查询 中 ,一 个 关键 点 是 减少 传输 占用 带宽 问题 。 如 前 面 所 介绍 , Bloom 
Filter 是 常用 的 技术 。 此 外 ,还 有 一 些 可 采用 的 技术 。 文 献 L104] 利 用 了 每 次 查询 后 的 结 
果 缓 存 (resultcaching) 技 术 来 避免 重复 查询 和 减轻 通信 流量 。 比 如 ,三 个 索引 asajar 
查询 a; Aa; Aa, 直接 从 索引 ai,aj a, 得 到 显然 比 利 用 先前 a; A a; 的 查询 结果 缓存 再 与 ww 
的 交集 计算 得 到 所 花费 的 代价 大 得 多 。 文 献 [105] 提 出 了 view tree 来 存储 和 查询 以 前 
的 结果 缓存 。 此 view tree 实质 是 一 个 trie 结构, 据 此 能 够 很 好 地 减少 多 关键 字 的 查询 
开销 。 

以 下 这 些 技 术 并 不 直接 相关 于 多 关键 字 查 询 , 但 是 其 思想 可 以 为 多 关键 字 查 询 所 借鉴 。 

文献 [L106] 提 出 部 分 查询 技术 以 及 相应 的 内 容 模式 。 其 思想 是 考虑 用 户 查 询 时 并 不 
需要 所 有 副本 ,而 是 需要 一 些 就 够 了 ,如 查询 一 个 流行 歌曲 只 需要 联系 两 三 个 网 站 就 够 
了 。 因 而 ,相对 于 传统 查询 返回 所 有 结果 集 , 部 分 查询 能 够 有 助 开销 减少 和 查询 效率 的 
提高 。 特 别 是 它 不 敏感 于 流行 key, 能 够 有 效 减 轻 热点 问题 。 文 献 [107] 提 出 轻 索 引 技 
术 , 其 思想 是 考虑 建立 索引 的 目的 是 为 了 有 效 进行 查找 ,但 并 不 是 所 有 的 内 容 都 要 索引 ， 
因而 仅 索引 那些 根据 反馈 计算 得 出 值得 索引 的 那些 内 容 , 从 而 降低 系统 的 索引 维护 开 
销 。 部 分 查询 技术 和 轻 索 引 技术 均 能 够 有 助 于 多 关键 字 查询 中 的 开销 的 减少 ,并 有 望 提 
高 查询 效率 。 


9.7.2 模糊 关键 字 查询 


为 使 基于 DHT 的 P2P 系统 能 支持 模糊 查询 , Harren 等 2 提出 了 一 种 采用 n-grams 
的 方法 解决 模糊 查询 问题 ,如 thoven 可 分 解 为 tho, hov ove 和 ven 等 3-grams。 通 过 针对 
不 同 的 值 ,可 以 分 别 建立 索引 。 这 种 方法 可 以 支持 模糊 查询 ,但 是 , 它 占 用 存储 容量 、 网 络 
带宽 及 处 理 开销 都 太 大 ,扩展 性 很 差 。 目 前 仍然 没有 很 好 的 方案 来 解决 这 个 问题 ,还 有 不 少 
挑战 性 的 工作 需要 去 做 。 
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9.7.3 ”复杂 查询 


应 用 查询 应 不 只 是 仅仅 支持 关键 字 查询 ,还 应 该 可 以 支持 如 同 关 系数 据 库 的 SQL 查询 
(选择 一 Selection 二 .投影 二 Projection 二 、 联 合 一 Join 二 以 及 聚集 二 Group-by/Aggregate 二 ) 
以 及 语义 支持 的 IR 模型 查询 等 复杂 查询 。 

文献 [101] 首 次 提出 了 DHT 上 SQL 查询 的 设计 思想 ,但 仅 实现 了 联合 (join)。 
PIER' 沁 实现 了 一 个 SQL 查询 子 集 , 但 是 在 使 用 中 经 常会 出 现 查询 结果 分 布 不 均匀 ,出 现 
大 量 的 “ 热 区 ”。 作 为 SQL 查询 初步 ,范围 查询 是 目前 SQL 查询 的 热点 研究 。 文 献 [108] 基 
于 二 维 CAN 提出 了 一 种 范围 查找 的 方法 , 它 利 用 了 CAN 的 空间 位 置信 息 来 存储 查询 结果 
集 和 并 由 此 支持 后 续 的 子 范围 查询 。Gupta 40° 使 用 位 置 敏 感 哈 希 (locality-sensitive 
hashing)59 来 支持 近似 (approximate) 范 围 查询 。 位 置 敏感 哈 希 LSH 是 指 哈 希 函数 集合 
H, YhE H.H Pr[ACA) —A(B) ]=sim(A,B). FEP A 和 B 为 两 集合 ,sim(A,B) 代 表 此 两 
集合 的 相似 度 。 它 们 用 位 置 敏 感 喻 希 代 兰 了 Chord 中 的 一 致 性 哈 希 从 而 使 得 相似 的 数据 
项 能 够 在 喻 希 空间 也 接近 。 查 询 一 些 数 据 项 将 产生 相似 于 被 请 求 项 的 结果 ,因而 支持 范围 
查询 。 但 是 由 于 采用 了 不 同 的 哈 希 功能 代替 一 致 性 哈 希 ,系统 的 负载 均衡 受到 了 影响 。 

文献 [111] 提 出 元 数据 搜索 层 (meta data search layer) 用 于 统一 数据 和 文件 的 描述 和 定 
XQ 事实 上 ,这 种 建立 元 数据 信息 描述 的 手段 已 经 在 Web Service 和 服务 发 现 机 制 中 得 到 
较为 广泛 的 研究 和 应 用 。 元 数据 搜索 具有 比 简 单数 据 搜索 更 丰富 的 语义 。SOMOD5 借助 
于 元 数据 来 管理 网 络 资源 。Arturo Crespo 等 0 引入 了 路 由 索引 (routing indices) 的 概念 
去 允许 邻居 节点 传递 查询 请 求 到 更 可 能 回答 此 请 求 的 节点 。 如 果 一 个 节点 不 能 够 回答 查 
询 , 它 传递 此 查询 到 基于 本 地 路 由 索引 的 一 个 邻居 节点 集 ,而 不 是 随机 选择 邻居 节点 或 者 泛 
洪 此 请 求 给 所 有 邻居 节点 。 借 助 于 路 由 索引 ,查询 性 能 得 到 较 好 的 提升 ,但 它 也 需要 额外 的 
存储 空间 开销 。 


9.8 小 结 


本 章 首 先 对 对 等 网 络 的 定义 及 分 类 进行 了 介绍 ,然后 针对 对 等 网 络 的 路 由 、 拓 扑 和 查询 
这 三 方面 的 研究 工作 进行 了 重点 阐述 ,综述 了 当前 对 等 网 络 的 路 由 、 拓 扑 和 查询 等 方面 的 研 
究 思路 以 及 研究 进展 。 
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第 10 章 ”对 等 网 络 的 安全 问题 


摘要 : 对 等 网 络 的 安全 问题 日 益 得 到 强调 和 重视 。 本 章 针 对 对 等 网 络 的 
节点 的 自私 行为 和 恶意 行为 ,介绍 了 当前 对 等 网 络 的 激励 机 制 、 信 任 机 制 以 
及 文件 安全 机 制 的 研究 工作 。 

关键 字 : P2P 激励、 信任 文件 真实 性 \ 文 件 污 染 。 


10.1 研究 背景 


随 着 现 有 P2P 系统 的 广泛 .深入 地 应 用 ,逐渐 暴露 出 P2P 系统 的 一 些 安 
全 问题 ,其 中 一 个 主要 原因 是 存在 一 些 诸如 节点 自主 行为 引起 的 不 可 靠 的 服 
务 质 量 、 网 络 攻击 等 。P2P 系统 具有 的 匿名 性 、 高 度 的 开放 性 以 及 加 入 系统 
的 用 户 节点 类 型 .目的 ,利益 空 间 差异 性 大 等 因素 致使 节点 行为 也 不 尽 相 同 ， 
按照 节点 自主 行为 的 不 同 将 这 种 情况 分 为 以 下 两 种 : 

COD 自私 行为 。 如 “搭便 车 ”(free-rider) 和 “公用 地 悲剧 ”(common 
tragedy)。 其 中 “搭便 车 ” 指 节点 只 使 用 其 他 节点 提供 的 资源 或 服务 ,而 不 共享 
自己 的 资源 。 以 Gnutella 文件 共享 系统 为 例 ,高 达 70% 的 节点 是 “搭便 车 ”9 。 
公用 地 悲剧 指 网 络 资源 作为 一 种 非 排他 的 公共 资源 ,被 大 多 数 P2P 节点 无 节制 
的 使 用 。 节 点 之 间 的 不 合作 及 利己 的 自私 行为 严重 影响 了 P2P 服务 的 可 用 性 。 

(2) 恶意 行为 。P2P 网 络 中 还 存在 着 为 数 不 少 的 蓄意 提供 不 可 靠 的 服务 
质量 以 及 欺诈 行为 的 节点 ,这 些 节点 并 不 关心 资源 访问 而 仅仅 为 了 散布 无 效 
的 或 有 害 的 内 容 , 如 虚假 的 文件 ,病毒 和 木马 等 ,它们 对 所 有 的 查询 都 做 出 积 
极 的 响应 (无 论 是 请 求 下 载 文 件 还 是 请 求 推 荐 信息 )。 恶 意 节 点 的 存在 严重 
影响 P2P 系统 的 性 能 ,使 得 P2P 系统 的 可 用 性 得 到 极 大 的 破坏 。 

本 章 通过 激励 机 制 和 信任 机 制 . 文 件 安全 机 制 对 节点 的 行为 进行 约束 ， 
引导 P2P 节点 更 倾向 于 成 为 一 个 “好 ”行为 的 节点 ,构建 一 个 良性 安全 的 对 等 
网 络 。 


10.2 激励 机 制 


P2P 系统 尽管 具有 系统 容错 性 高 ,容量 大 、 可 扩展 性 好 等 优点 ,但 是 缺点 
同样 明显 。 由 于 P2P 网 络 的 分 布 式 特性 ,单个 节点 具有 更 大 的 自由 度 , 服 务 
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质量 因此 无 法 得 到 保证 : 节点 动态 性 使 得 服务 不 稳定 : 节点 的 自私 性 导致 只 有 少 部 分 节点 
愿意 提供 服务 ; 同时 少 部 分 恶意 节点 更 容易 对 其 他 节点 发 起 攻击 ,这 些 攻击 包括 针对 文件 
的 攻击 和 针对 路 由 的 攻击 中 。 系 统 测量 表明 中 ; PP 网 络 中 大 量 用 户 ( 约 70%) 只 获取 服 
务 ,不 提供 服务 ,这 导致 了 P2P 网 络 较为 严重 的 不 公平 性 问题 。 有 的 节点 只 获取 服务 ,不 提 
MERZ; 还 有 一 部 分 节点 通过 欺诈 手段 增 大 自身 利益 ,针对 文件 进行 攻击 。 例 如 随意 伪 
造 文件 ,随意 终止 服务 等 中; 甚至 有 的 节点 之 间 互 相 勾 结 联合 进行 攻击 (sybil attack), 
在 传统 网 络 中 ,由 于 服务 总 是 由 中 心服 务 节点 提供 ,公平 性 问题 和 服务 的 安全 性 可 靠 性 问题 
并 不 突出 ,但 是 在 PZP 中 ,我们 需要 激励 节点 提供 安全 可 靠 的 服务 。 


10.2.1 搭便 车 问题 


P2P 网 络 资源 的 丰富 依赖 于 用 户 对 自己 可 用 资源 的 共享 。 但 是 ,真正 在 网 络 上 创造 或 
提供 内 容 的 人 还 是 少数 的 , 据 统 计 Gnutella 的 用 户 中 仅仅 有 2% 向 其 他 用 户 提 供 了 内 容 , 即 
使 在 比较 活跃 的 Usene 七 张贴 文章 的 用 户 也 仅 占 所 有 用 户 的 7%。 虽 然 P2P 模式 中 有 着 传 
输 速度 大 和 共享 性 质 的 种 种 优点 ,但 现实 中 往往 出 现 人 们 只 想得到 别人 的 共享 文件 却 没 有 
把 自己 的 有 用 资源 共享 出 来 的 问题 ,由 此 产生 了 P2P 网 络 应 用 中 的 一 个 广泛 存在 的 消极 现 
象 : 搭便 车 。 搭 便 车 定义 为 一 个 自私 的 个 体 有 意识 地 拒绝 为 某 个 群体 的 共同 利益 自愿 地 贡 
WK. Saroiu 等 在 2002 年 发 表 的 论文 中 中 指出 根据 他 们 最 新 对 Napster 和 Gnutella 的 实验 
结果 表明 : 大 多 数 用 户 只 作为 消费 者 而 不 对 系统 贡献 自己 的 资源 ,50%“ 种 子 ” 在 线 时 间 不 
超过 1 小 时 ,多 数 的 用 户 都 是 搭便 车 者 ,对 系统 贡献 很 少 ,如 Gnutella 系统 中 有 25% 的 用 户 
根本 不 共享 任何 资源 。“ 种 子 ” 的 短缺 意味 着 系统 中 部 分 有 价值 的 资源 长 时 间 得 不 到 利用 ， 
搭便 车 现象 的 增加 使 得 整个 系统 失去 P2P 分 布 式 共享 资源 的 精神 ,这 一 现象 的 草 延 ,将 导 
5 P2P 退化 成 传统 的 C/S 系统 中 。 由 此 引发 了 许多 关于 P2P 激励 机 制 方面 的 理论 研究 课 
题 和 商业 计划 ,提出 P2P 激励 模型 ,向 系统 贡献 资源 的 用 户 能 从 网 络 中 得 到 相应 的 回报 , 激 
励 用 户 共享 资源 以 消除 搭便 车 现象 。 


10.2.2 激励 机 制 


在 P2P 网 络 中 ,尤其 是 纯 P2P 模式 的 网 络 中 ,并 没有 一 个 中 心 节 点 或 是 权威 对 合作 进 
行 监督 。 每 个 节点 都 是 理性 的 ,它们 追求 的 是 自身 效用 的 最 大 化 。 如 果 与 其 他 节点 合作 BE 
供 资源 或 服务 ,将 会 消耗 节点 的 资源 ,并 降低 节点 的 性 能 。 尽 管理 性 的 节点 可 以 预见 缺乏 合 
作 会 导致 P2P 网 络 的 总 体 性 能 的 下 降 , 但 由 于 合作 所 带 来 的 好 处 并 不 直接 ,因此 节点 合作 
的 动力 不 大 。 有 研究 人 员 对 一 个 具有 35 352 台 主 机 的 实际 运行 的 Gnutella 网 络 进行 了 24 
小 时 的 监控 发 现 : 在 Gnutella 网 络 中 搭便 车 现象 盛行 , 近 70% 用 户 是 搭便 车 者 , 即 它们 未 
被 共享 任何 文件 ; 近 50% 的 回应 来 自 仅 1% 的 用 户 。 研 究 人 员 认 为 : P2P 网 络 需 要 自发 的 
合作 ,但 这 对 于 匿名 的 大 规模 系统 很 难 做 到 ; 理性 用 户 关心 效用 ,并 会 影响 其 是 否 选择 
合作 。 

一 个 缺乏 合作 的 P2P 网 络 中 ,搭便 车 现象 非常 普遍 ,很 多 节点 之 下 载 资源 或 索取 服务 ， 
从 来 不 提供 资源 或 服务 。 更 有 其 者 ,有 的 节点 提供 假 的 资源 或 服务 ,这 种 现象 在 eMule 网 
络 中 也 屡见不鲜 。 有 些 节 点 故意 限制 或 谎报 网 速 ,以 达到 少 提供 或 不 提供 资源 或 服务 的 目 
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的 。 所 有 的 这 种 种 行为 ,导致 了 公用 地 悲剧 中 : 网 络 资源 集中 化 ,造成 网 络 拥堵 。 另 一 方面 
也 导致 网 络 资源 同 质 化 ,节点 不 愿意 主动 引入 新 的 资源 。 最 终 使 得 整个 P2P 网 络 性 能 急剧 
下 降 , 所 有 参与 其 中 的 节点 的 利益 都 受到 不 同 程度 的 损害 。 

上 述 问题 的 根源 在 于 ,目前 的 P2P 网 络 ,无 论 是 采用 何 种 架构 或 模式 ,都 基于 一 个 假 
设 , 那 就 是 每 个 参与 的 节点 都 能 善意 地 ,最 大 化 地 提供 网 络 资源 。 这 个 假设 忽略 了 一 个 事 
实 , 那 就 是 每 个 节点 后 面 都 是 具体 的 人 ,节点 的 行为 实际 上 就 是 个 人 的 行为 。 因 此 ,可 以 通 
过 研究 个 人 的 行为 来 解决 这 个 问题 。 作 为 组 织 行为 学 的 重要 组 成 部 分 的 激励 机 制 , 在 这 里 
可 以 发 挥 巨大 的 作用 。 

1. 面临 的 问题 

尽管 传统 的 激励 机 制 在 实际 应 用 中 已 经 展现 出 它 的 巨大 威力 ,然而 P2P 网 络 具 有 其 
特殊 性 ,因而 不 能 照搬 传统 的 激励 机 制 , 而 是 应 该 从 P2P 的 实际 情况 出 发 ,制定 出 适用 于 
P2P 网 络 的 激励 机 制 。 在 制定 之 前 ,需要 对 P2P 网 络 中 激励 机 制 可 能 面临 的 问题 四 进行 
研究 。 

传统 的 组 织 有 大 有 小 ,但 总 的 来 说 ,一 个 Ce 以 全 球 最 大 的 软件 公 
WOKE UE 60 000 
人 , 它 可 以 算是 一 -个 巨型 的 组 织 了 。 poit 在 一 mu All KaZea PROX 
件 共享 系统 中 , 光 是 其 并 发 的 用 户 数 完全 可 能 超过 100 000。 由 此 可 见 , 不 同 于 传统 组 织 ， 
P2P 网 络 可 以 拥有 非常 多 的 成 员 (节点 ) 数 量 。 

在 传统 的 组 织 中 ,尽管 也 存在 着 员工 离职 或 新 员工 入 职 ,从 而 存在 一 定 的 周转 率 ,一 般 
来 讲 , 这 个 周转 率 并 不 会 太 高 (如 果 有 组 织 有 很 高 的 周转 率 的 话 , 工 作 效率 的 降低 往往 是 因 

为 员工 交接 及 新 员工 需要 时 间 适 应 新 环境 和 新 工作 引起 的 ,这 并 非 激励 机 制 所 能 解决 的 ) 。 
然而 ,根据 研究 人 员 的 统计 ,在 像 Gnutella 和 KaZaa 这 样 的 文件 共享 系统 中 ,节点 从 加 入 网 
络 到 离开 网 络 的 时 间 间 隔 , 即 “生存 时 间 ”, 其 平均 值 基本 上 是 以 分 钟 计算 的 。 由 此 可 见 ， 
P2P 网 络 具 有 很 高 的 周转 率 。 

传统 的 组 织 中 ,员工 往往 以 部 门 或 项 目 为 单位 进行 组 织 管理 。 在 同一 个 单位 中 的 员工 ， 
往往 具有 相同 或 类 似 的 兴趣 ,这 为 激励 机 制 的 应 用 带 来 了 很 大 的 方便 。 而 在 P2P 网 络 中 ， 
由 于 节点 都 是 对 等 的 ,因而 并 不 存在 这 样 的 单位 。 而 且 , 节 点 之 间 的 兴趣 也 是 不 对 等 的 , 比 
如 A 可 能 对 B 的 资源 或 服务 感 兴趣 ,而 B 却 对 C 的 资源 或 服务 感 兴趣 。P2P 网 络 这 种 兴趣 
不 对 等 的 特征 对 于 传统 的 激励 机 制 来 讲 .是 一 个 巨大 的 挑战 。 

在 P2P 网 络 中 ,多 个 节点 可 能 串通 作案 ,以 提高 自身 的 信誉 。 这 种 情况 在 一 些 采 用 了 
基于 信誉 的 激励 机 制 的 P2P 网 络 中 非常 普遍 。 在 传统 的 组 织 中 ,尽管 也 存在 类 似 的 问题 ， 
但 一 方面 ,传统 的 激励 机 制 中 信誉 不 是 主要 的 因素 ,因而 P2P 文件 共享 系统 中 激励 机 制 的 
研究 这 种 行为 对 传统 激励 机 制 的 影响 比较 小 ; 另 一 方面 .在 P2P 网 络 中 的 这 种 行为 更 难 察 
觉 ,具有 更 大 的 危害 性 。 

P2P 网 络 还 带 来 了 两 个 在 传统 的 组 织 中 不 存在 的 问题 。 一 个 是 零 成 本 身份 切换 ,在 
P2P 网 络 中 ,由 于 节点 都 是 匿名 的 ,因而 节点 可 以 任意 地 更 改 自己 的 身份 。 另 一 个 是 行为 背 
叛 的 问题 , 即 一 个 在 历史 上 行为 良好 的 节点 ,突然 更 改 其 行为 , 变 成 一 个 搭便 车 者 ,或 作出 其 
他 危害 P2P 网 络 的 行为 。 
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2. 激励 模型 

在 P2P 网 络 中 ,激励 模型 可 以 大 体 被 分 为 两 类 : 

(1) 货币 支付 模型 ,节点 间 每 次 文件 的 上 传 和 下 载 都 需要 明确 的 货币 支付 。 

(2) 非 货币 模型 (也 被 称 为 软 激励 模型 ) .不 使 用 明确 的 货币 支付 而 采用 其 他 的 方法 提 
供 激励 。 

1) 货币 支付 模型 

CD 真实 货币 支付 。 用 户 在 网 络 中 出 售 自己 的 资源 ,利用 了 用 户 资源 的 网 格 组 织 通过 
银行 向 该 用 户 支付 真实 货币 ,付费 在 网 络 外 进行 。 这 种 方式 广泛 地 在 网 格 计算 的 经 济 模型 
中 ,目前 的 一 些 网 格 系统 如 Globus, Legion 等 已 经 提供 了 大 量 的 、 成 熟 的 .可 重用 的 中 间 件 ， 
例如 资源 协同 分 配 服务 DUROC、 认 证 和 安全 服务 GSI 等 。 

(2) MicroPayment。 在 这 种 模型 下 ,所 使 用 的 货币 并 不 能 在 网 络 以 为 兑换 现实 货币 ,可 
以 称 为 虚拟 货币 。 每 个 用 户 下 载 资源 之 前 必须 向 服务 提供 节点 支付 相应 价格 的 虚拟 货币 。 
为 网 络 中 其 他 节点 提供 服务 可 以 得 到 相应 的 虚拟 货币 ,所 以 为 了 能 够 持续 的 得 到 网 络 资源 ， 
节点 必须 不 断 地 以 自己 的 服务 换 回 足 够 多 的 虚拟 货币 才 行 。 其 中 货币 的 交易 必须 具备 
ACID(Atomicity 原子 性 ,Consistency 连贯 性 、Isolation 孤立 性 、Durability 耐久 性 )。 现 实 
中 的 系统 包括 MojoNation?! , Maze 等 。 

2) 软 激励 模型 

CD 实物 交换 模型 。 用 户 总 是 只 有 共享 了 文件 ,对 系统 做 出 了 贡献 才能 从 别人 那里 下 
载 文 件 。 上 传 与 下 载 的 速率 同样 受到 控制 , 即 用 户 使 用 一 定 的 速率 下 载 文件 ,也 必须 要 提 
供 相 应 的 上 传 速率 。 使 用 这 样 的 机 制 的 目前 有 eDonkey 和 BitTorrent. 

(2) 区 分 服务 质量 模型 。 向 系统 贡献 越 多 , 则 可 以 得 到 更 好 的 服务 ,比如 优先 的 访问 
权 , 更 为 稳定 的 传输 ,更 高 速 的 下 载 , 更 大 的 存储 空间 等 。 例 如 在 文献 L10] 一 文中 所 提出 的 
基于 节点 服务 情况 和 使 用 情况 矩阵 特征 向 量 来 决定 是 否 向 请 求 服务 提供 节点 提供 其 所 要 求 
的 服务 。 

对 于 如 何在 P2P 上 建立 激励 模型 ,采用 什么 样 的 激励 机 制 及 算法 ,众多 研究 者 进行 了 
大 量 的 研究 和 实验 。 目 前 在 P2P 网 络 中 引入 激励 机 制 的 主要 方法 有 : 

CD 重新 设计 分 布 式 的 资源 定位 协议 来 实现 网 络 激励 ,如 对 于 网 络 贡献 大 的 节点 可 以 把 
资源 搜索 报 文 传输 到 更 多 的 节点 ,进而 增 大 节点 资源 的 发 现 概率 。 

© 在 已 有 的 协议 上 增加 特殊 的 激励 算法 ,如 请 求 的 接纳 控制 ,服务 质量 的 区 分 等 来 实 
现 网 络 激 励 。 

现在 大 量 的 研究 工作 集中 在 现 有 路 由 协议 上 增加 特殊 激励 算法 来 实现 激励 这 方面 , 主 
要 是 因为 现 有 的 资源 定位 协议 ,不论 是 使 用 无 结构 洪 泛 还 是 使 用 有 结构 分 布 式 HASH 函数 
来 定位 资源 的 协议 都 基本 已 经 成 熟 , 并 且 有 大 量 的 应 用 ,抛弃 现 有 的 大 量 系统 而 重新 开发 基 
于 新 协议 的 应 用 代价 过 大 。 采 用 在 现 有 协议 上 增加 激励 的 方法 ,不仅 理论 上 更 容易 实现 ,而 
且 解 决 了 现实 中 大 量 已 存在 系统 的 缺陷 .有 更 加 现实 的 意义 。 


10.2.3 激励 机 制 研究 现状 


1. 基于 微 支 付 和 虚拟 货币 的 机 制 
斯 坦 福 大 学 的 Phillipe Golle 等 人 首先 提出 了 使 用 微 支付 和 虚拟 货币 的 方法 来 解决 
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P2P 共享 网 络 中 的 共享 激励 问题 "3 。 这 个 机 制 主 要 思想 是 ,服务 器 记录 每 个 注册 用 户 文件 
下 载 数量 u 和 文件 上 传 数量 ,每 次 用 户 间 传 递 文件 时 ,服务 器 将 提供 文件 下 载 的 用 户 的 文 
件 上 传 数量 加 1, 并 将 下 载 文件 的 用 户 的 文件 下 载 数量 d 加 1。 每 隔 一 段 时 间 ,服务器 为 
每 个 用 户 计 算 应 支付 的 金额 C= Ju,o)。 这 里 的 函数 了 根据 一 定 的 算法 将 用 户 的 下 载 上 
传 差额 换算 成 用 户 应 该 支付 的 金额 。 函 数 f 一般 采 用 线性 函数 ,以 便 使 得 整个 网 络 中 的 微 
支付 总 额 为 0( 收 支 平 衡 ) 。 

为 了 增加 该 机 制 的 灵活 性 ,该 机 制 又 引入 被 称 为 点数" 的 虚拟 货币 。 服 务 器 不 再 记录 
用 户 的 文件 下 载 数量 和 文件 上 传 数量 ,而 是 记录 用 户 的 点 数 。 每 次 用 户 间 传 递 文件 时 ,服务 
器 增加 提供 文件 下 载 的 用 户 的 点 数 ,同时 减少 下 载 文件 的 用 户 的 点 数 。 用 户 可 以 通过 提供 
文件 下 载 来 获得 点 数 ,也 可 以 直接 使 用 现实 货币 购买 点 数 。 在 使 用 现实 货币 购买 点 数 的 情 
况 下 ,由 于 交易 额 一 般 很 小 ,直接 通过 银行 支付 费用 相对 较 高 ,而且 比较 麻烦 ,因此 需要 有 第 
三 方 来 向 用 户 销售 点 数 ,再 由 其 与 银行 结算 ,这 个 第 三 方 被 称 为 经 纪 人 (broker) 。 

这 样 一 来 ,经 纪 人 节点 的 稳定 性 在 这 种 机 制 中 就 至 关 重要 了 。 因 此 ,PPayc53 引 入 并 实 
现 了 浮动 的 、 自 管理 的 货币 的 概念 ,以 最 大 限度 地 减少 经 纪 人 的 介入 。 浮 动 的 货币 允许 数字 
货币 ( 即 虚 拟 货币 ) 在 没有 经 纪 人 参与 的 情况 下 ,也 能 从 一 个 节点 * 浮 ?到 另 一 个 节点 。 至 于 
说 自 管理 ,是 指 在 PPay 中 ,由 拥有 数字 货币 的 节点 自身 来 负责 数字 货币 的 安全 ,只 有 在 购 
买 数字 硬币 或 兑换 成 现实 货币 时 才 需 要 经 纪 人 的 介入 。 

Fileteller 中 是 一 个 网 络 文件 存储 系统 , 它 也 采用 微 支付 方式 来 对 网 络 中 的 用 户 进行 
激励 。 

在 支付 系统 中 ,资源 或 服务 以 商品 的 形式 存在 ,消费 者 要 购买 使 用 权 , 而 提供 者 可 以 获 
得 报酬 。P2P 系统 中 ,节点 通过 向 其 他 节点 提供 资源 或 服务 来 获得 报酬 ,并 用 获得 的 报酬 去 
购买 自己 所 需 的 资源 或 服务 。 由 于 P2P 系统 中 的 资源 常常 是 比较 廉价 的 (例如 空闲 的 带宽 
或 CPU 时 间 等 ), 所 以 在 P2P 中 采用 的 多 是 微 支付 (micropayment) 系 统 ,每 笔 交 易 的 价值 
较 小 ,对 安全 性 等 方面 的 要 求 也 相对 较 低 。 

学 术 界 研究 文献 中 提出 的 比较 典型 的 P2P 支付 系统 有 PPay™, KARMA??, 
PeerMint? 等 。 实 用 中 的 P2P 微 支付 系统 实例 有 Popular Power 和 MojoNation"" ,前 者 
付 少 量 的 报酬 购买 别人 的 空闲 CPU 时 间 用 以 构造 P2P 分 布 计算 网 络 ,再 出 售 给 需要 的 用 
户 ,后 者 是 一 个 P2P 在 线 支付 系统 。 

2. 基于 配额 的 机 制 

基于 配额 的 机 制 的 主要 思想 是 为 每 个 节点 设 定 一 个 配额 ,节点 在 一 个 时 间 段 内 从 P2P 
网 络 中 的 下 载 总 量 不 得 超过 这 个 配额 。 

CFSU?J& —^4- Hisl P2P 网 络 存储 系统 ,为 了 减少 攻击 ,提高 系统 的 安全 性 , 它 采用 了 
存储 配额 机 制 , 规 定 每 个 节点 只 能 访问 存储 系统 总 量 的 一 个 很 小 的 比例 ,例如 0. 1%。 

CFS 引入 配额 的 动机 并 非 是 为 了 激励 , 而 是 为 了 提高 系统 的 稳定 性 和 安全 ,而 
FARSITE"® 和 Pastiche" 外 则 将 配额 用 于 激励 机 制 。 这 两 种 激励 机 制 都 是 通过 限制 节点 能 
够 从 P2P 网 络 中 或 取 的 资源 与 其 对 P2P 网 络 的 贡献 相当 ,从 而 激励 用 户 贡 献 资 源 。 

Samsara 妇 则 采用 了 一 种 比较 特别 的 策略 : 每 个 节点 在 向 其 他 节点 请 求 存储 空间 之 
前 ,必须 允诺 对 方 能 够 使 用 本 节点 上 相同 大 小 的 空间 ,对 于 那些 不 遵守 规则 的 节点 ， 
Samsara 会 以 一 定 的 概率 进行 惩罚 。 
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3. 基于 信誉 的 机 制 

信任 是 指 一 个 节点 基于 个 体 体验 对 另 一 个 节点 在 系统 中 可 信 度 方面 的 一 个 评价 ,而 信 
誉 则 是 指 一 个 节点 通过 合作 的 方式 ,基于 自己 或 者 其 他 节点 的 一 些 信息 来 获得 其 他 节点 在 
系统 中 的 可 信 度 方面 的 一 个 评价 。 

P2P 系统 中 信任 和 信誉 关系 的 基本 思想 是 用 户 间 完成 交易 后 ,可 以 对 这 次 交易 进行 评 
价 , 从 而 给 对 方 一 个 评价 。 用 户 间 可 以 通过 这 些 相互 间 直 接 的 评价 来 建立 对 对 方 直接 的 信 
任 关 系 。 同 时 ,这 种 直接 的 信任 关系 可 以 通过 某 种 信任 传播 算法 来 描述 用 户 在 系统 中 的 主 
观 或 者 客观 的 信誉 值 。 

信誉 模型 主要 分 为 主观 的 信誉 模型 和 客观 的 信誉 模型 。 主 观 的 信誉 模型 是 指 每 个 节点 
都 建立 并 维护 一 个 信誉 表 , 这 个 表 中 存储 了 节点 对 每 个 有 过 交往 的 节点 的 信誉 的 评价 。 而 
客观 的 信誉 模型 中 用 户 不 用 单独 维护 信誉 表 , 而 是 在 整个 P2P 网 络 中 ,所 有 节点 以 某 种 机 
制 共 同 维护 一 个 全 局 信 作 表 , 这 个 表 中 存储 了 所 有 的 刀 节 点 的 全 局 信誉 值 。 

SLICI5 是 一 个 典型 的 主观 的 信誉 模型 。 它 的 基本 思想 是 : 每 个 节点 统计 各 个 邻居 节 
点 对 本 节点 发 出 的 请 求 的 响应 情况 ,然后 根据 响应 情况 给 其 打分 ,响应 越 好 ,得 分 越 高 ,这 个 
打分 每 隔 一 段 时 间 进 行 一 次 ,打分 的 结果 作为 接 下 来 的 时 间 段 中 本 节点 对 邻居 节点 的 请 求 
进行 响应 的 依据 。 每 个 节点 既 要 响应 邻居 节点 的 请 求 , 又 要 发 出 自己 的 请 求 ,而 且 每 个 节点 
的 能 力 是 有 限 的 ,因此 它 必 须要 在 响应 请 求 和 发 送 自己 的 请 求 之 间 找 到 一 个 平衡 点 ,使 得 在 
为 邻居 借 点 服务 的 同时 不 影响 自己 从 P2P 得 到 服务 的 质量 。 

主观 的 信誉 模型 实现 比较 简单 ,只 要 发 生 交互 的 两 个 节点 的 参与 ,但 这 意味 着 节点 间 对 
其 他 节点 的 评价 不 尽 相同 。 对 于 那些 为 邻居 节点 提供 过 良好 服务 的 节点 , 当 它 们 与 新 的 节 
点 交互 时 ,其 良好 的 历史 记录 并 不 能 为 其 带 来 好 处 ,这 样 对 它们 来 讲 并 不 公平 ,一 定 程度 上 
会 降低 其 积极 性 。 而 且 容 易 造成 节点 的 功利 性 : 需要 时 便 向 邻居 节点 提供 服务 以 得 到 好 的 
服务 ,不 需要 时 便 拒绝 提供 服务 。 

客观 的 信誉 模型 实现 起 来 要 比 主管 的 信誉 模型 复杂 ,而 且 容 易 受 到 攻击 和 欺骗 。 然 而 ， 
相 比 于 主观 的 信誉 模型 , 它 帮 助 形成 了 更 公平 的 环境 ,节点 即使 当前 不 需要 获得 服务 , 它 也 
可 以 提供 良好 的 服务 ,提高 自己 的 信誉 值 ,以便 将 来 或 遇 到 新 节点 时 能 够 得 到 更 好 的 服务 。 

4. 基于 TFT 的 机 制 

TFT(Tit-For-Tat) 是 一 种 非常 简单 的 合作 策略 : 第 一 次 交易 中 总 是 选择 合作 ,之 后 每 次 
交易 采用 的 策略 与 对 方 在 上 次 交易 中 所 采用 的 策略 (合作 或 欺骗 ) 相 同 。 正 如 R. Axelrod 在 
The Evolution of Cooperation 一 文中 所 指出 的 那样 ,TFT 是 自我 主义 者 构成 的 无 中 心 
交易 环境 中 最 好 的 合作 策略 。 目 前 最 受 欢 迎 的 P2P 文件 共享 和 内 容 分 发 系统 BitTorrent 
(BT) 就 使 用 了 这 种 动机 机 制 ,并 在 改善 公平 性 方面 取得 了 良好 的 效果 。 

在 BT 中 ,TFT 策略 通过 “阻塞 (choking) ”算法 来 实现 。 在 一 个 Torrent( 同 一 个 文件 的 
下 载 群 ) 中 ,每 个 节点 周期 性 地 计算 着 其 所 有 连接 上 的 下 载 速度 ,并 根据 这 些 信息 ,选择 其 中 
速度 最 快 的 w(w 默认 为 7) 个 连接 提供 上 载 , 其 他 连接 除了 一 个 由 * 乐 观 朴 通 Coptimistic 
unchoking) "3 4E f] Z^ e. EAT LA BR 3E (choke). 4 Li 38 (0) ELI 28 29. Y 6 BL HEU — A 
更 好 的 连接 。 如 果 该 连接 上 的 下 载 速度 优 于 某 个 目前 正在 提供 上 载 的 连接 , 则 这 个 新 连接 
接替 其 在 w 个 连接 中 的 位 置 ; 否则 ,下 一 轮 将 以 Round-Robin Jr 3X3€ ££ 55 — AR W 388 D 
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连接 9。 

BT 的 激励 机 制 可 以 使 尽量 多 的 有 效 连接 处 于 双向 传输 的 最 佳 利 用 状态 ,并 且 , 为 了 获 
得 更 快 的 下 载 速度 ,每 个 节点 也 会 有 足够 的 动机 在 下 载 的 同时 也 为 其 他 节点 提供 上 载 服务 ， 
从 而 有 效 地 减少 了 搭便 车 现象 的 发 生 。 

5. 基于 相似 性 的 机 制 

2001 4, R. L. Riolo 发 表 在 Nature 上 的 一 篇 论文 中 提出 了 另 一 种 合作 机 制 。 该 文 认 
为 除了 血缘 关系 和 互惠 关系 (直接 或 间接 ) 之 外 ,合作 还 可 能 会 在 “相似 ”的 实体 之 间 产 生 。 
实体 的 特征 可 以 用 Tags 来 表示 ,这 些 Tags 被 用 来 进行 相似 性 的 度量 。 文 献 [25] 中 提出 了 
一 种 将 Tags 模型 应 用 于 P2P 合作 问题 的 框架 。 


10.3 信任 机 制 


P2P 网 络 是 一 种 典型 的 “开放 式 ” 网 络 环境 。 系 统 中 的 用 户 并 非 来 自 同一 个 利益 团体 ， 
任何 人 只 要 愿意 都 可 以 自由 地 加 入 和 退出 P2P 网 络 , 自 由 地 参与 资源 共享 和 交换 。 参 与 节 
点 的 身份 对 等 ,所 有 节点 既 可 以 是 资源 或 服务 的 消费 者 ,也 可 以 是 提供 者 。 用 户 具有 很 强 的 
自主 性 ,因此 提供 的 服务 质量 不 可 能 像 传统 的 C/S 或 B/S 模式 那样 可 靠 ,它们 可 以 随意 终 
止 服务 ,甚至 可 能 存在 欺诈 行为 。 另 一 方面 ,P2P 中 的 交互 模式 是 点 对 点 的 ,个 体 间 的 交互 
和 协作 是 系统 的 主要 业务 ,个体 行为 和 节点 之 间 的 对 等 交互 不 被 第 三 方 直接 介入 或 监控 。 

P2P 模式 的 开放 性 、 对 等 性 、 自 主 性 和 无 监督 性 是 它 的 主要 特征 ,也 是 它 在 很 多 领域 取 
得 巨大 成 功 的 重要 原因 。 但 这 种 个 人 为 公众 提供 资源 同时 又 享受 公共 资源 ,而 节点 行为 无 
约束 的 工作 模式 ,使 P2P 网 络 中 “信任 ”极度 缺乏 ,交互 双方 很 难 判 断 对 方 的 可 信 程 度 ,交互 
对 象 的 选择 具有 很 大 的 盲目 性 ,服务 质量 和 安全 也 很 难得 到 保证 。 

P2P 网 络 中 的 大 量 不 可 靠 服务 都 是 由 于 信任 缺失 而 引起 的 。 例 如 在 众多 文件 共享 P2P 
网 络 中 ,大 量 的 文件 是 伪造 的 、 未 经 授权 的 或 被 自 改 过 的 ,甚至 是 带 有 病毒 的 。 而 在 类 似 于 
eBay 和 淘宝 网 这 样 的 电子 商务 类 P2P 系统 (广义 ) 中 ,这 种 不 可 靠 服 务 和 欺诈 行为 给 用 户 带 
来 的 影响 则 更 为 严重 。 


10.3.1 信任 概念 


信任 是 一 个 多 学 科 的 概念 ,描述 了 在 特定 的 情境 下 ,一 个 个 体 A 在 可 能 产生 不 利 后 果 
的 情况 下 (包括 风险 因素 ) ,愿意 相信 另 一 个 个 体 B 具有 某 种 能 力 或 能 够 完成 某 项 任务 的 主 
观 信念 C9 ,或 个 体 A 根据 自己 的 经 验 或 同时 参考 其 他 个 体 C.D 等 的 推荐 信息 而 得 出 的 被 
信任 方 B 的 可 信赖 程度 。Luhmann 于 1979 年 从 社会 学 的 角度 来 描述 信任 ,将 其 定义 为 减 
少 社会 复杂 性 的 方法 。 而 这 种 复杂 性 是 由 具有 不 同 理解 力 和 目的 的 个 体 的 交互 引起 的 。 
该 定义 由 于 其 社会 学 的 本 质 更 适合 基于 信誉 的 系统 。 另 一 个 广 为 接 受 的 定义 是 计算 机 科学 
家 Gambeta 于 1990 年 给 出 的 所 。 信 任 被 定义 为 个 体 评 估 另 一 个 体 或 集体 将 执行 某 一 特定 
行为 的 特定 主观 可 能 性 等 级 ,评估 发 生 在 个 体能 够 观察 到 该 特定 行为 之 前 (或 该 特定 行为 独 
立 于 个 体能 够 观察 到 该 行为 的 能 力 ) 且 该 特定 行为 会 影响 评估 者 自身 的 行为 。 

Gambeta 认为 信任 不 是 一 个 门限 点 ,而 应 该 是 一 个 概率 分 布 的 概念 ,可 以 用 介 于 完全 
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不 信任 (用 0 表示 ) 和 完全 信任 (用 1 表示 ) 之 间 的 值 来 表示 , 且 以 不 确定 性 为 中 点 (用 0.5 表 
示 )。 该 定义 引入 了 从 信任 方 的 角度 认识 到 的 被 信任 方 的 可 靠 性 概念 。 最 近 的 关于 信任 的 
概念 是 由 Grandison 和 Sloman 提出 的 29 ,他 们 将 信任 定义 为 对 某 一 个 体 在 特定 的 情境 下 ， 
独立 ,安全 且 可 靠 的 完成 任务 的 能 力 的 坚固 信念 。Chen RE? 3A 2g; 信任 是 大 多 数 人 际 关系 
的 核心 ,信任 的 因素 因 人 而 异 , 每 一 个 人 都 有 它 自 己 的 意见 ,因此 信任 的 本 质 是 分 布 的 。 

与 信任 紧密 联系 的 概念 是 信誉 ,Abdul-Rehman 将 信誉 定义 为 基于 观察 到 的 个 体 过 去 
行为 或 过 去 行为 的 信息 而 对 个 体 行为 的 期 望 S9。 可 以 看 出 ,信誉 强调 的 是 一 个 集体 对 某 一 
个 体 ( 或 群体 ) 的 综合 的 可 信赖 度 ,而 信任 更 多 强调 的 是 信任 个 体 对 被 信任 方 的 主观 信赖 。 


10.3.2 信任 模型 


信任 模型 (trust model) 是 指 建 立 和 管理 信任 关系 的 框架 。 信 任 模型 分 为 两 种 基本 类 
型 : 层次 信任 模型 .网 状 信任 模型 。 层 次 信任 模型 是 较为 简单 ,并 广泛 使 用 的 信任 模型 (如 
X. 509) ,其 优点 是 结构 简单 ,易于 管理 和 实现 ,缺点 是 信任 关系 必须 通过 根来 实现 ,层次 模 
型 适合 孤立 的 、 层 状 的 封闭 环境 。 网 状 信任 模型 中 ,每 一 个 节点 都 可 以 作为 可 信任 根 ,节点 
间 的 信任 路 径 可 以 构成 一 个 网 络 ,如 PGPS5 ,网 状 信任 模型 的 优点 是 更 接近 于 人 类 社会 的 
信任 关系 ,信任 关系 易于 构建 , 且 不 依赖 于 任何 权威 中 心 。 


10.3.3 信任 模型 的 研究 现状 


信任 模型 是 建立 和 管理 信任 关系 的 框架 。 目 前 ,P2P 信任 研究 主要 涉及 信任 量化 、 信 任 
评价 以 及 信任 的 计算 、 存 储 、 传 递 机 制 的 研究 。 相 对 于 传统 的 安全 技术 ,信任 模型 更 像 是 一 
个 不 十 分 “严格 ?的 安全 技术 。 它 不 像 一 般 的 鉴别 .认证 等 技术 ,有 一 个 明确 的 接受 或 者 拒绝 
的 标准 ,而 是 更 具有 主观 性 。 跟 传统 的 安全 技术 相 比 , 它 建立 了 一 个 类 似 人 类 社会 的 信任 评 
价 和 信誉 传递 机 制 ,能 更 好 地 处 理 安全 中 的 信任 问题 ,一 旦 和 已 有 的 安全 技术 结合 起 来 ,就 
能 对 解决 对 等 网 中 的 安全 问题 提供 较 好 的 解决 方案 。 

在 分 布 式 系统 中 ,建立 不 同 网 络 节点 间 的 信任 关系 是 建立 系统 安全 的 一 个 基础 。P2P 
信任 机 制 主要 是 用 来 解决 如 何 选择 可 信赖 的 Peer 的 问题 的 。 信 任 问题 在 C/S 时 代 也 是 存 
在 的 ,但 是 在 C/S 时 代 构 建 信任 机 制 要 容易 得 多 ,因为 Server 处 于 中 心 位 置 , 可 以 方便 地 收 
集 Client 的 各 项 信息 。 但 是 由 于 对 等 网 络 的 特点 ,信任 模型 是 P2P 网 络 应 用 中 一 个 十 分 难 
以 解决 的 问题 。 到 目前 为 止 ,P2P 信任 机 制 已 经 成 为 一 个 活跃 的 研究 课题 ,尽管 目前 在 实际 
应 用 中 还 没有 出 现 比较 成 功 的 通用 解决 方案 ,但 国内 外 研究 者 在 信任 研究 领域 开展 了 许多 
开创 性 的 研究 工作 ,一 些 具有 代表 性 的 研究 成 果 提出 了 不 少 值得 借鉴 的 思路 和 方法 。 

1. 集中 式 信 任 模 型 

集中 式 信 任 系 统 主要 应 用 于 电子 商务 领域 ,在 实际 应 用 中 大 都 采用 基于 PKI 的 信任 模 
型 ,简单 地 采用 给 参与 者 评价 打分 的 方法 来 描述 信誉 度 ,采用 简单 的 数值 计算 方式 来 实现 信 
任 的 聚合 。 

在 集中 信任 系统 中 ,存在 少数 中 心 实体 负责 收集 网 络 参 与 实体 的 历史 交易 记录 信息 , 然 
后 再 把 所 有 实体 的 信誉 评分 的 结果 公布 出 来 。 在 下 次 的 实体 交易 前 ,请 求实 体 即 可 以 通过 
参考 备 选 服务 实体 的 最 新 信誉 信息 来 加 以 选择 。 这 样 拥有 良好 信誉 的 服务 实体 会 获得 更 多 
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的 提供 服务 机 会 和 回报 ,与 此 同时 诚实 可 信 的 实体 也 会 获得 更 高 的 信誉 ,从 而 抑制 网 络 中 的 
不 良 行为 ,最 终 会 促进 网 络 的 良性 发 展 。 

集中 式 信 任 系统 中 ,实体 A 和 B 在 历史 交易 记录 的 基础 上 ,在 信任 系统 的 支撑 下 相互 
选择 对 方 , 因 为 双方 均 认为 对 方 的 行为 最 可 靠 , 从 而 开始 一 次 新 的 交易 交互 。 在 每 次 交易 结 
东 后 ,实体 之 间 会 对 对 方 在 交易 中 的 行为 给 出 评价 ,信誉 中 心 会 不 断 地 收集 每 个 实体 的 评价 
信息 并 更 新 每 个 实体 的 信誉 信息 ,更 新 后 的 实体 信誉 信息 会 在 信誉 中 心 公布 。 

在 这 类 系统 中 ,中心 实体 负责 整个 网 络 的 监督 ,定期 通告 违规 的 实体 ,中 心 实体 的 合法 
性 通过 CA 颁发 的 证 书 加 以 保证 。 这 类 系统 往往 是 中 心 依赖 的 ,具有 可 扩展 性 、 单 点 失效 等 
问题 。 这 类 实际 系统 的 实例 有 eBay、eDonkey 等 。 

2. 基于 局 部 推荐 的 分 布 式 信任 模型 

在 这 类 系统 中 ,节点 通过 询问 有 限 的 其 他 节点 以 获取 某 个 节点 的 信誉 度 , 一 般 采 取 简单 
的 局 部 广播 的 手段 ,其 获取 的 节点 信誉 度 是 局 部 的 。 如 Comelli?? 对 Gnutella 的 改进 建议 
就 是 采用 这 种 方法 。 

在 局 部 信任 模型 中 ,许多 研究 者 认为 信任 是 主观 的 ,对 同一 实体 的 可 信 度 ,不 同 的 观察 
者 可 能 会 得 出 不 同 的 判断 。 例 如 ,在 P2P 环境 中 ,不 同 的 参与 者 可 能 会 采用 不 同 的 方法 来 
评价 其 他 参与 者 的 性 能 ,这 反映 了 不 同 用 户 对 行为 的 不 同 理解 29 (信任 的 上 下 文 相关 性 特 
征 )。 在 基于 推荐 的 局 部 信任 模型 中 ,参与 者 通过 询问 其 他 有 限 的 参与 者 (推荐 者 ) 来 获得 某 
个 参与 者 的 信任 度 信息 ,从 而 形成 自身 的 信任 观点 。 目 前 基于 局 部 推荐 的 分 布 式 信任 模型 
的 主要 研究 工作 有 : 

(1) 基于 概率 的 局 部 信任 模型 。 在 信任 研究 领域 ,部 分 研究 者 认为 借助 于 概率 方法 可 
以 描述 主观 信任 ,提出 了 多 种 基于 概率 的 信任 模型 。 

文献 [35] 采 用 Bayesian 公式 对 实体 的 信任 相关 经 验 进行 了 建 模 ,提出 了 对 实体 间 信 任 
度 进 行 定量 研究 的 Beth 模型 。 除 Beth 模型 外 ,文献 [34] 针 对 PZP 文件 共享 系统 ,提出 了 一 
个 基于 Bayesian 网 络 的 信任 管理 模型 。 该 模型 认为 信任 来 自 于 参与 者 的 直接 经 验 ,信誉 则 
基于 其 他 参与 者 的 推荐 ,信任 都 具有 上 下 文 相关 性 、 多 面 性 \ 动 态 性 等 特点 。 

(2) 基于 主观 逻辑 的 信任 模型 。Josang 模型 中 将 行为 的 结果 (成 功 或 失败 ) 作 为 经 验 ， 
根据 二 项 事件 (binary event) 后 验 概率 服从 Beta 分 布 的 思想 ,提出 了 基于 主观 迎 辑 
(subjective logic) 的 信任 度 评估 模型 来 解决 信任 的 推导 和 综合 计算 "9 。 

(3) Abdul-Rahman 模型 。 与 基于 概率 的 局 部 信任 模型 不 同 ,Abdul-Rahman 等 27] 认 
为 ,尽管 从 直观 上 看 ,信任 度 可 表示 为 某 种 概率 的 度量 ,但 问题 在 于 概率 值 只 有 以 定义 明确 
的 可 重复 实验 为 基础 才 有 意义 ,因而 不 适 于 处 理 日 常 的 实际 经 验 。 并 且 ,基于 概率 的 模型 仅 
仅 考虑 了 观察 本 身 , 没 有 考虑 观察 者 。 此 外 ,概率 本 质 上 是 传递 的 ,而 信任 只 具有 弱 传 递 性 。 

Abdul-Rahman 模型 将 信任 划分 为 4 级 .分 别 累 计 不 同 级 别 的 交易 经 验 , 并 以 此 为 基础 
进行 信任 的 评价 和 推理 。Abdul-Rahman 模型 的 不 足 之 处 在 于 其 信任 的 表示 和 推理 方法 比 
较 复 杂 ,缺乏 直观 意义 。 

(4) PeerTrust 模型 。Xiong Lil9 给 出 了 一 个 适用 于 P2P 电子 社区 的 局 部 信任 模型 , 节 
点 的 可 信 度 是 对 以 往 该 节点 向 其 他 节点 提供 服务 的 水 平 的 综合 评价 。 模 型 考虑 全 面 , 引 入 
了 节点 对 交互 的 反馈 ,反馈 的 可 信 度 ,节点 参与 交互 的 次 数 , 交 互 的 属性 和 节点 所 在 社区 五 
个 因素 度量 节点 的 可 信 程 度 。 其 信任 值 的 计算 公式 为 
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Tt) =a* S scsi) * CrCpGu D) * TF(u.i) + 8* CF(u) 
相关 参数 的 定义 为 : T(w) 是 节点 u 的 信任 值 ,Cr(v) 是 节点 v. T ME Te XX ULIS np fi ERE. 
TFE DET Ex u 98 i KEH AE CE G0 J& A u TE DX IIS TE Ce) Ju lo 
zn] ae HA BOM, pCu 1) 6 5 Xu 8B i WEE AIT SR S Cu D EIA 46 09 A u 的 第 i 次 交 
互 后 p (us 让 对 它 的 信任 评分 ,a EG u 交互 过 的 节点 对 x 的 综合 评价 的 权重 ,8 是 社区 对 评 
佑 的 影响 所 占 的 权重 。 

该 模型 对 实体 得 到 的 推荐 信任 进行 统计 和 分 类 计算 得 到 实体 的 信任 度 , 模 型 认为 需要 
识别 欺骗 行为 和 对 欺骗 者 进行 惩罚 , 却 没 有 提出 具体 的 方法 和 机 制 。 

(5) 其 他 局 部 信任 模型 。 除 上 述 局 部 信任 模型 外 ,其 他 研究 者 还 提出 了 基于 轮 询 投 
mien EBD, Hp. Damiani 等 基于 P2P 文件 共享 协议 Gnutella 提出 了 Damiani 模 
型 3, 。 该 模型 以 Gnutella 协议 的 资源 搜索 与 响应 消息 Query 和 QueryHit 为 基础 ,提出 
了 轮 询 协 议 XRep, 参 与 者 在 下 载 资源 之 前 先 请 求 其 他 实体 对 某 目标 实体 进行 投票 ,投票 的 
消息 采用 公 钥 技术 实现 签名 与 加 密 , 在 对 投票 结果 进行 聚集 分 析 和 challenge/response 检 
查 ,排除 可 疑 投票 之 后 ,根据 其 结果 确定 是 否 访问 该 目标 实体 。 在 实际 与 目标 实体 进行 交易 
之 后 ,还 要 更 新 目标 实体 及 投票 者 的 可 信 度 。 

3. 基于 全 局 推荐 的 分 布 式 信任 模型 

为 获取 全 局 的 实体 可 信 度 ,该 类 模型 通过 实体 问 相 互 满意 度 的 迭代 ,从 而 获取 实体 全 局 
的 信誉 度 。Stanford 的 EigenRep5c9 是 目前 已 知 的 一 种 典型 的 全 局 信任 模型 ,该 信任 模型 在 
信任 问题 研究 领域 具有 重要 的 指导 意义 ,成 为 大 部 分 研究 工作 的 参考 标准 。EigenRep 的 核 
心思 想 是 : 依据 一 个 节点 提供 的 成 功 交 易 的 次 数 与 失败 交易 的 次 数 来 计算 该 节点 的 信誉 
值 。 当 节点 i 需要 了 人 解 任意 节点 & 的 全 局 可 信和 度 时 ,首先 从 & 的 交易 伙伴 中 (曾经 与 发生 
过 交易 的 节点 户 来 获知 节点 的 可 信和 度 信息 ,然后 根据 这 些 交易 伙伴 自身 的 局 部 可 信和 度 (从 
i 的 主观 判断 角度 来 看 ) 综 合计 算出 & 的 全 局 可 信和 度 。 计 算 公 式 如 下 

T= Cy X6, 


式 中 : T 为 节点 & 全 局 的 可 信和 度 , 对 于 任意 节点 jCs 为 节点 i 对 节点 7 的 局 部 信任 度 , 计 
算 公式 如 下 
Cy = (Sat; —U,Saty)/ >) (Sat; — U, Saty) 


式 中 : Sat 和 UU,Sats 分 别 为 节点 i 对 j 在 历史 交易 中 积累 的 满意 次 数 和 不 满意 次 数 。 

文献 [52] 分 析 了 EigenRep 模型 存在 的 不 足 之 处 ,如 缺乏 迭代 收敛 性 保证 、. 没 有 考虑 惩 
罚 因素 和 网 络 性 能 开销 等 ,提出 了 基于 推荐 的 P2P 环境 下 的 Trust 模型 ,进行 了 相关 分 析 
并 给 出 了 分 布 式 计算 协议 。 

4. 基于 组 群 的 P2P 信任 模型 

基于 组 群 的 P2P 信任 模型 53' 纹 以 信誉 为 基础 ,通过 将 节点 组 织 成 组 群 来 实现 P2P 系统 
安全 控制 。 在 文献 [53] 中 ,通过 计算 一 个 双 层 信誉 ,以 此 为 依据 最 终 选择 一 个 节点 进行 交 
易 , 从 而 提高 网 络 交 易 的 质量 和 安全 性 。 在 该 模型 中 ,主要 是 通过 逻辑 上 的 一 个 节点 组 来 实 
现 双 层 信誉 的 (节点 所 在 组 的 信誉 和 该 节点 本 身 的 信誉 ) 。 模 型 规定 每 个 节点 在 同一 时 间 至 
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多 只 能 属于 一 个 组 。 通 过 该 节点 所 在 组 的 信誉 和 该 节点 本 身 的 信誉 ,可 以 判定 这 个 节点 是 
善意 的 或 是 恶意 的 ,是 否 可 以 信任 。 一 个 节点 的 信誉 可 以 通过 该 节点 所 要 执行 动作 善 恶 可 
能 性 的 大 小 来 评定 。 并 且 随 着 不 同 节点 之 间 的 交互 动态 调整 。 如 果 一 个 节点 滥用 系统 中 的 
资源 或 者 有 自私 的 行为 ,该 节点 将 受到 降低 信誉 的 惩罚 。 同 样 ,如 果 有 节点 试图 通过 系统 的 
匿名 性 伪装 自己 来 攻击 其 他 用 户 或 更 改 其 他 用 户 的 路 由 信息 ,也 将 受到 惩罚 。 当 其 再 次 试 
图 寻求 协作 时 ,系统 将 会 提示 这 些 节点 是 恶意 的 。 另 一 方面 ,系统 也 将 会 给 可 靠 诚实 的 节点 
一 个 好 的 信誉 。 当 一 个 节点 拥有 较 高 的 信誉 时 ,该 节点 被 认为 是 可 信任 的 ,并且 可 以 获得 所 
在 组 的 支持 。 一 个 节点 的 可 靠 性 越 高 ,希望 与 其 交互 的 节点 就 会 越 多 。 模 型 采用 了 双 层 的 
信誉 模式 ,每 一 个 节点 行为 的 好 坏 同 时 还 会 影响 所 在 组 的 信誉 ,这样 可 以 激励 组 内 的 所 有 成 
员 相 互 监督 。 在 这 种 “监督 ”的 压力 之 下 ,每 一 个 节点 都 必须 尽量 做 到 最 好 ,因为 只 有 这 样 组 
才 会 批准 它们 进行 交互 。 如 果 一 个 成 员 的 行为 有 损 组 的 形象 或 者 削弱 了 组 的 信誉 ,以 后 组 
内 的 其 他 成 员 将 会 拒绝 与 其 合作 ,以 此 达到 惩罚 和 警醒 其 他 成 员 的 作用 。 若 一 个 节点 长 期 
有 不 好 的 行为 ,组 内 的 成 员 将 有 权 选 举 决定 将 其 从 组 中 除去 。 

每 个 节点 需要 交易 时 ,总 是 率先 考虑 与 自己 同 组 的 节点 ,其 次 是 组 信誉 度 的 节点 组 中 的 
节点 。 提 供 文件 时 ,也 总 是 优先 为 自己 的 同 组 节点 提供 服务 ,其 次 再 考虑 其 他 组 成 员 。 因 
此 ,游离 在 各 个 信誉 组 外 的 节点 很 难 找到 机 会 与 其 他 节点 交互 ,信誉 值 的 提高 也 会 很 慢 ,被 
一 个 节点 组 接纳 需要 比较 长 的 一 段 时 间 。 但 是 如 果 恶 意 攻击 其 他 节点 或 是 更 改 其 他 节点 的 
路 由 信息 ,信誉 的 下 降幅 度 却 会 很 快 ,而 且 还 有 可 能 被 踢 出 组 外 。 这 样 就 可 以 起 到 一 定 的 警 
示 作 用 ,使 节点 珍惜 与 组 内 其 他 节点 的 良好 关系 。 


10.4 文件 安全 机 制 


文件 安全 机 制 是 P2P 分 布 自 组 织 安 全 体系 中 的 重要 结构 之 一 。 文 件 的 真实 性 问题 和 
文件 污染 问题 ,得 到 了 特别 的 关注 ,成 为 PP 诸多 问题 中 的 最 为 关注 的 问题 之 一 5 。 

在 无 中 心 的 P2P 系统 中 ,文件 的 真实 性 得 不 到 保证 ,充斥 着 大 量 的 虚假 文件 ,甚至 是 威 
胁 安全 的 恶意 病毒 或 特洛伊 木马 ,这 将 严重 威胁 终端 实体 ,甚至 影响 整个 网 络 的 安全 稳定 运 
行 。 有 研究 表明 ,几乎 所 有 的 热门 资源 都 有 虚假 文件 ,而 且 比 想象 的 多 得 多 。 一 些 虚 假 文件 
的 传播 量 甚 至 远大 于 真实 文件 ,这 不 仅 极 大 的 浪费 了 网 络 带宽 ,给 网 络 系统 带 来 严重 威胁 ， 
对 于 依靠 大 量 用 户 支撑 的 P2P 网 络 来 说 问题 相当 严重 。 

对 于 文件 污染 问题 ,是 指 在 P2P 文件 共享 系统 中 ,恶意 节点 发 布 与 指示 主题 不 相符 合 
的 文件 内 容 ,并 通过 P2P 文件 共享 进行 传播 。 文 件 污染 问题 给 P2P 文件 共享 造成 了 很 大 的 
危害 : 首先 ,如 果 用 户 频繁 遭遇 污染 文件 ,其 感受 到 的 可 用 性 会 急剧 降低 ,甚至 最 终 放 弃 使 
用 该 系统 ; 而 且 , 它 为 病毒 .蠕虫 等 恶意 程序 的 传播 提供 了 便利 ,造成 了 网 络 安全 上 的 隐患 。 

对 P2P 网 络 的 实际 测量 数据 表明 5 ,现实 存在 的 文件 污染 现象 十 分 普遍 ,尤其 是 对 于 
最 近 流 行 的 内 容 。 在 FastTrack/KaZaA, eDonkey, Overnet 等 P2P 系统 中 ,有 半数 流行 内 
容 的 副本 是 被 污染 的 或 是 仿造 的 。 


10.4.1 文件 真实 性 概述 
对 等 网 络 文件 真实 性 是 指 : 在 对 等 网 络 中 对 于 某 请 求 节点 的 文件 查询 消息 ,会 有 不 确 
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定数 量 的 应 答 节点 给 予 应 答 ,确定 哪些 应 答 是 满足 条 件 的 真实 的 文件 ,这 就 是 确定 对 等 网 络 
文件 的 真实 性 。 举 例 来 说 ,如 果 一 个 节点 发 起 一 个 “国富 论 ” 的 查询 ,结果 收 到 三 个 应 答 , 这 
些 应 答 中 哪 一 个 是 真实 的 呢 ? 应 答 之 一 可 能 恰好 是 亚当 。 斯 密 所 著 的 《国富 论 》。 另 外 的 一 
个 应 答 可 能 是 修改 了 几 个 关键 段落 的 亚当 ， 斯 密 的 (国富 论 》。 第 三 个 应 答 可 能 是 某 个 网 络 
写 手 对 《国富 论 ) 的 恶搞 作品 ,该 作品 的 名 字 也 被 命名 为 (国富 论 》。 判 断 这 些 应 答 哪 个 是 真 
实 文件 的 过 程 就 是 文件 真实 性 确定 。 

文件 真实 性 是 对 等 网 络 的 一 个 安全 要 求 ,然而 目前 为 止 收 到 的 关注 并 不 是 很 多 ， 
Daswani 等 提出 过 对 等 网 络 文件 真实 性 认证 的 公开 问题 “外, 他 们 在 文献 [42] 中 列举 了 四 种 
不 同 的 判断 文件 真实 性 的 标准 : 

第 一 个 判断 准则 是 “最 古老 的 文件 是 真实 的 ”。 这 种 定义 认为 最 早 提交 到 系统 中 的 文档 
是 真实 副本 。 举 例 来 说 ,如 果 亚 当 ，… 斯 密 是 (国富 论 ) 的 作者 并 第 一 个 向 系统 提交 了 这 个 文 
档 , 那 么 他 的 文档 就 被 认为 是 “国富 论 ” 这 一 查询 的 真实 文档 。 任 何在 此 之 后 提交 的 名 为 “ 国 
富 论 ”的 文档 都 被 认为 是 查询 的 非 真实 回应 。 利 用 时 戳 机 制 的 方法 可 以 帮助 这 种 系统 确立 
文件 的 真实 性 。 然 而 可 以 看 出 来 ,这 种 机 制 往 往 太 机 械 简单 。 

第 二 个 判断 的 标准 是 以 专家 为 基础 确认 文件 真实 性 。 在 这 方式 中 ,一 份 文件 签名 如 果 
经 过 了 专家 或 权威 节点 的 真实 性 确认 ,就 被 认为 是 真实 的 ,例如 ,节点 A 是 一 个 可 信 中 心 ， 
他 提供 对 签名 的 确认 。 当 节点 收 到 查询 请 求 的 回应 后 ,他 可 以 与 这 个 可 信和 中心 A 通信 ,用 
节点 A 中 的 记录 来 确认 签名 的 真实 性 。 其 实 这 种 方式 是 借鉴 了 C/S 模式 的 集中 管理 原理 ， 
可 信 中 心 节点 A 实际 上 就 是 一 个 确认 真实 性 的 服务 器 。 这 种 机 制 存 在 着 相当 大 的 局 限 ,如 
果 节 点 A 暂时 或 永久 失效 .被 攻击 者 入 侵 控制 甚至 A 本 身 就 是 一 个 恶意 节点 ,那么 文件 的 
真实 性 就 根本 得 不 到 保障 了 。 这 是 一 个 单 点 失效 的 问题 。 

第 三 个 判断 的 标准 是 基于 信誉 确认 文件 真实 性 。 在 现实 生活 中 ,在 一 个 领域 有 很 多 专 
家 教授 ,但 是 他 们 对 这 个 领域 的 造 诈 是 有 高 低 之 分 的 ,有 的 专家 教授 的 观点 更 加 权威 可 信 ， 
有 的 则 次 之 。 与 在 现实 生活 一 样 ,一 些 专家 节点 可 能 比 另 一 些 专家 节点 更 可 信 , 可 以 在 投票 
中 加 大 可 信 专 家 选票 的 权重 。 这 种 权重 要 由 一 个 完整 的 信誉 机 制 来 提供 ,这 种 机 制 要 能 保 
持 、 更 新 、 传 播 信誉 值 。 现 在 已 经 有 一 些 信誉 机 制 的 研究 ,但 至 今 仍 没有 一 个 成 功 地 被 商业 
界 利 用 。 

第 四 个 判断 文件 真实 性 的 准则 是 基于 投票 来 确认 文件 真实 性 。 为 了 解决 前 面 第 二 个 方 
案 中 信任 中 心 节点 A 的 单 点 失效 问题 ,这 种 方案 用 投票 的 方法 让 许多 专家 对 文件 签名 的 真 
实 性 进行 确认 ,只 需 一 部 分 专家 认同 就 认为 文件 是 真实 的 。 这 就 不 再 有 单 点 失效 的 问题 。 


10.4.2 文件 真实 性 确认 协议 


Ernesto Damiani 等 人 设计 了 XREP 协议 9 是 一 种 具有 代表 性 意义 的 文件 真实 性 确认 
协议 ,XREP 提出 了 结合 文件 信誉 度 (Reputation) 和 参与 节点 的 信誉 度 来 确定 对 等 网 络 文 
件 真实 性 的 机 制 。 在 这 种 机 制 里 ,系统 的 每 个 参与 节点 拥有 一 个 节点 标识 符 servent_id( 一 
般 是 用 该 节点 的 公 钥 进行 哈 希 计算 得 到 的 ) ,每 个 文件 拥有 一 个 文件 标识 符 resource_id( 一 
般 就 是 把 文件 内 容 进 行 哈 希 计算 得 到 的 )。 每 个 参与 节点 都 有 一 个 经 验 库 (experience 
repository) ,经验 库 ,记录 对 文件 和 其 他 通信 节点 的 某 些 历史 评价 信息 ,如 用 二 元 组 


184 


无 线 自 组 织 网 络 和 对 等 网 络 原 理 与 安全 


(resource_id,value) 记 录 文 件 的 信誉 度 , value 以 某 种 方法 对 文件 的 评价 值 , 用 三 元 组 
(servent_id,num_plus,num_minus) 记 录 节 点 的 信誉 度 。 其 中 ,num_plus 是 在 节点 上 成 功 
下 载 文件 的 次 数 ,num_minus 是 在 节点 上 文件 下 载 不 成 功 的 次 数 ,对 节点 的 投票 可 以 根据 
不 同 的 标准 ,比如 说 一 个 简单 的 方法 是 , 某 节点 只 对 成 功 下 载 次 数 为 0(num_plus 二 0) 的 其 
他 节点 给 下 面 评价 。 整 个 搜索 .投票 和 下 载 的 过 程 具 体 可 分 为 5 个 阶段 : 

1. 搜索 资源 

发 起 者 了 以 类 Gnutella 形式 的 泛 洪 方式 向 所 有 邻居 节点 发 送 查 询 消 息 Query JE ll 
Query(search_string,min_speed) ,系统 中 的 节点 在 收 到 查询 消息 后 立刻 查看 本 地 是 否 有 符 
合 查询 请 求 的 文件 内 容 , 如 果 有 ,就 按照 查询 消息 的 发 送 路 径 返 回 一 个 查询 响应 消息 , 形 如 
QueryHitCnum_hit,IP,port,speed,Result,trailer,servent_id) ,包括 响 应 者 节点 标识 符 、 查 
询 到 的 文件 名 和 其 他 信息 组 成 的 结果 集 Result、 匹 配 查 询 请 求 的 文件 数量 、 网 速 和 二 IP， 
port 二 对 。 

2. 选择 资源 和 发 起 投票 

根据 上 一 步 返 回 的 查询 响应 结果 ,发 起 者 工 在 收 到 的 QueryHit 中 根据 响应 者 的 信息 
选择 一 个 资源 r 和 一 定数 量 的 资源 的 提供 者 组 成 集合 TT 二 {5 Sin Sy) X PIE PE AT DY, 
取决 于 请 求 者 的 个 人 喜好 和 同 种 资源 提供 者 的 人 数 。 工 产生 一 对 密 钥 对 (PKpoll,SKpoll) , 
然后 将 发 起 投票 的 消息 Polli, (S, S; S, ) ,PKpoll) 以 类 Gnutella 的 方式 泛 洪 出 去 ,由 
此 发 起 投票 。 系 统 中 的 节点 收 到 发 起 投票 消息 以 后 ,检查 它们 的 经 验 库 ,根据 对 文件 和 节点 
的 记录 产生 投票 ,投票 用 了 的 公 钥 加 密 按照 投票 发 起 消息 的 发 送 路 径 返 回 给 请 求 者 , 形 如 
PollReply({IP,port,votes)} ,PKpoll)) ,用 公 钥 加 密 有 两 个 目的 ,其 一 是 防止 消息 在 传输 过 
程 中 被 人 恶意 窜改 ,其 二 是 保证 投票 和 投票 者 的 机 密 性 ,不 让 攻击 者 发 现 投票 者 和 票 的 
关联 。 

3. 统计 票数 和 核实 投票 

根据 上 一 阶段 收集 的 PollReply', 发 起 者 工 先 用 私 钥 Skpoll 解密 发 现 被 自 改 过 的 票 并 且 
将 其 丢弃 ,再 根据 TP 地 址 排除 派系 ,然后 在 排除 派系 后 的 所 有 投票 者 中 选择 一 个 投票 者 子 
Æ V' ,再 用 二 IP,port 二 向 每 一 个 投票 者 vj Cvj ETE V 中 ) 直 接 发 起 投票 核实 请 求 消息 
TrueVote. iK vj 向 工 发 送 核心 信息 TrueVoteReply (response) E Sc t 9. £6 3 Ez 3: . 1 HA 
信 某 些 投票 ,丢弃 那 些 没有 回复 和 没有 通过 核实 的 投票 。 

4. 选择 资源 提供 者 并 检查 其 可 用 性 

请 求 者 根据 从 第 3 阶段 中 确定 的 可 信和 投票 选择 一 个 信誉 度 最 高 的 资源 节点 作为 资源 提 
供 者 S。 然 而 在 资源 下 载 之 前 ,必须 要 核实 资源 提供 者 S 的 身份 ,因为 要 防止 其 他 节点 利用 
该 资源 提供 者 S 的 servent ids 冒充 S 提供 资源 下 载 。 这 个 阶段 的 过 程 是 : 发 起 者 了 发 送 
确认 请 求 AreYou(server_ids,r) 给 资源 提供 者 节点 ,要求 该 节点 作出 应 答 , 收 到 确认 请 求 的 
节点 用 自己 的 私 钥 SKs 加 密 确 认 消 息 后 ,连同 自己 的 公 钥 PKs 一 同 发 送 给 请 求 者 , 形 如 
AreYouReply([response]SKs, PKs) ,请 求 者 收 到 AreYouReply 后 用 PKs 解密 [response] 
SKs, 得 到 确认 结果 ,然后 把 PKs 作 哈 希 计算 ,如 果 哈 希 计 算 的 结果 是 server_ids, 则 证 明 发 
起 者 1 是 在 和 真正 的 资源 提供 者 S 通信 。 
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5. 下 载 资 源 

发 起 者 了 直接 与 资源 提供 者 S 通信 ,download(r) ,要 求 下 载 资源 ,下 载 后 请 求 者 会 计算 
文件 内 容 的 摘要 以 确定 完整 性 ,最 后 发 起 者 1 更 新 经 验 库 中 资源 和 资源 提供 者 的 记录 。 

由 以 上 对 5 个 阶段 的 分 析 可 知 , 整 个 机 制 可 以 防止 攻击 者 修改 投票 ,能 够 发 现 和 排除 派 
系 选票 ,还 能 有 效 地 挫败 攻击 者 假冒 资源 提供 者 。 像 Gnutella 网 络 一 样 ,系统 具有 每 规 律 
(PowerLaw) 特 性 , 即 热门 一 些 的 文件 会 比 不 热门 的 文件 更 频繁 的 被 搜索 到 ,对 它们 的 投票 
也 会 多 一 些 , 而 且 少 数 节点 有 较 高 的 度 , 多 数 节点 的 度 较 低 , 因 此 少数 节点 将 提供 多 数 的 资 
源 下 载 。 


10.4.3 P2P 文件 污染 概述 


所 谓 文件 污染 是 指 P2P 文件 共享 网 络 中 的 恶意 用 户 , 可 称 之 为 “污染 者 ”, 将 虚假 甚至 
含有 恶意 内 容 的 文件 贴 上 某 些 热门 内 容 的 标签 进行 发 布 , 诱 骗 其 他 用 户 下 载 , 并 利用 P2P 
网 络 的 自由 共享 功能 进行 更 广泛 散播 的 现象 。 

P2P 文件 污染 的 危害 主要 有 三 方面 : 一 是 降低 了 网 络 内 共享 资源 的 可 用 性 ,二 是 破坏 
了 安全 和 互利 的 共享 资源 环境 ,三 是 为 病毒 .蠕虫 的 传播 提供 了 便利 。 由 于 现 有 的 P2P XC 
件 共享 网 络 普 遍 缺 乏 准 入 控制 和 内 容 管理 机 制 , 所 以 ,污染 者 可 以 像 正常 用 户 一 样 自由 地 发 
布 和 共享 任何 内 容 。 再 加 上 P2P 网 络 中 文件 传播 往往 是 “一 传 十 .十 传 百 ”, 而 用 户 的 行为 
又 具有 很 强 的 自主 性 ,很 难 加 以 管理 ,因此 ,文件 污染 一 旦 发 生 ,将 很 难得 到 有 效 的 控制 。 

P2P 文件 污染 最 初 是 版 权 组 织 为 了 破坏 版 权 文件 在 P2P 网 络 上 的 非法 传播 而 采取 的 
一 种 比较 消极 的 技术 手段 。 从 2002 年 起 ,一 些 公司 便 开始 雇佣 P2P 污染 者 ,在 各 P2P 网 上 
布 满 其 试图 保护 的 音乐 .电影 .软件 的 假冒 伪劣 版 本 ,多 使 这 些 网 络 瘫痪 。 例 如 当时 最 著名 
的 专业 P2P 污染 公司 Overpeer. 就 曾经 于 2003 年 成 功 地 使 当时 最 受 欢 迎 的 KaZaA/ 
FastTrack 网 络 上 被 污染 的 文件 占 到 总 文件 数量 的 一 半 以 上 。 虽 然 从 这 些 年 的 数据 来 看 ， 
这 一 技术 并 未 真正 达到 版 权 保护 的 作用 ,但 它 对 P2P 文件 共享 系统 造成 的 影响 却 吹 响 了 
P2P 系统 中 内 容 安 全 对 抗战 的 号 角 , 并 必 将 引发 更 大 范围 内 不 同 目的 性 的 文件 污染 和 对 抗 
以 及 更 多 的 内 容 安全 问题 。 因 此 ,在 现 阶段 分 析 讨 论 和 防范 文件 污染 不 仅仅 是 个 有 关 版 权 
的 议题 ,更 是 应 对 未 来 P2P 系统 中 将 要 不 断 涌现 的 内 容 安 全 问题 的 一 种 必要 的 准备 。 


10.4.4 P2P 文件 污染 的 研究 


1. 文件 污染 方式 

文件 污染 一 般 是 针对 某 些 选 定 的 关键 词 进行 的 。 文 件 污染 者 有 如 下 三 种 污染 方式 可 以 
HEREC ， 

1) 索引 污染 

最 简单 的 文件 污染 方式 是 “索引 污染 ”, 即 : 在 P2P 网 络 的 索引 服务 系统 中 注入 大 量 虚 
假 的 记录 ,这 些 记 录 指 向 不 存在 的 版 本 和 /或 副本 。 当 用 户 按 照 这 些 记录 的 指示 尝试 下 载 
时 ,将 得 到 “无 法 链接 ”的 提示 。 如 果 注 入 的 虚假 索引 记录 足够 多 ,那么 没有 耐心 的 用 户 可 能 
在 几 次 失败 的 尝试 之 后 放弃 下 载 的 努力 。 
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索引 污染 既 可 以 针对 版 本 也 可 以 针对 副本 。 它 与 普通 的 版 本 污染 和 副本 污染 的 不 同 之 
处 在 于 ,污染 者 注入 网 络 中 的 索引 记录 指向 并 不 存在 的 对 象 ,因此 污染 者 并 不 需要 拥有 强大 
的 污染 服务 器 来 提供 大 量 的 上 传 服务 。 

2) 副本 污染 

所 谓 副 本 污染 , 指 的 是 污染 者 声称 自己 存 有 某 个 正确 版 本 的 副本 ,但 实际 上 传 给 下 载 者 
的 却 是 错误 的 数据 。 如 果 这 种 污染 者 足够 多 ,那么 ,即使 下 载 者 能 够 挑选 出 正确 的 版 本 ,一 
旦 误 选 这 些 污 染 者 作为 下 载 源 , 也 会 浪费 大 量 的 时 间 精 力 和 网 络 带宽 。 

这 种 污染 方式 要 求 污染 者 拥有 强大 的 污染 服务 器 来 提供 大 量 的 上 传 服务 。 

3) 版 本 污染 

最 复杂 、 也 是 危害 性 最 大 的 文件 污染 方式 是 版 本 污染 。 实 施 版 本 污染 的 污染 者 首先 针 
对 一 个 (或 同时 针对 多 个 ) 目 标 关 键 词 制造 出 大 量 含有 恶意 或 错误 内 容 的 污染 版 本 。 然 后 污 
染 者 将 这 些 版 本 的 索引 信息 注入 目标 P2P 网 络 ,并 在 其 污染 服务 器 上 提供 大 量 可 供 下 载 的 
副本 。 如 果 没 有 有 效 的 识别 措施 和 管理 机 制 , 网 络 中 的 用 户 在 搜索 相关 主题 时 就 很 容易 被 
这 些 具有 大 量 可 下 载 副 本 的 污染 版 本 所 吸引 。 一 旦 下 载 了 污染 版 本 而 又 没有 及 时 加 以 检 
验 ,一 般 用 户 很 可 能 将 该 版 本 的 本 地 副本 设置 为 共享 ,并 提供 给 其 他 用 户 下 载 。 如 此 一 来 ， 
污染 版 本 将 在 网 络 中 广泛 的 传播 开 来 ,甚至 会 超过 了 正确 版 本 的 副本 数量 ,最 终 将 正确 副本 
淹没 在 污染 副本 中 ,使 得 该 主题 资源 变 得 不 可 用 。 

P2P 共享 文件 的 污染 版 本 有 很 多 不 同 的 表现 形式 ,例如 ,对 于 MP3 歌曲 文件 ,污染 者 可 
以 采用 截 短 .插入 噪声 、 插 和 人 不 可 解码 的 数据 片断 甚至 插入 辱骂 词句 等 方式 来 制造 污染 版 
本 ,而 对 于 可 执行 文件 , 则 可 能 是 插入 蠕虫 .木马 等 恶意 代码 。 由 于 P2P 网 络 中 共享 资源 的 
多 样 性 ,对 文件 版 本 的 好 坏 ,很 难 有 效 的 自动 识别 措施 ,因此 ,版 本 污染 具有 很 强 的 隐蔽 性 ， 
大 多 数 情况 下 只 能 依靠 人 工 的 识别 。 正 是 这 种 人 工 识别 的 滞后 性 ,使 得 P2P 网 络 中 被 污染 
的 文件 版 本 不 仅 可 以 通过 污染 服务 器 直接 散发 ,还 可 以 通过 正常 用 户 的 共享 行为 得 到 更 加 
广泛 和 迅速 的 传播 。 

以 上 三 种 污染 方式 可 能 单独 使 用 ,也 可 能 结合 起 来 形成 更 为 复杂 和 隐蔽 的 复合 式 污染 
方式 。 需 要 指出 的 是 ,索引 污染 只 会 降低 资源 可 用 性 而 不 会 引入 有 害 内 容 ,副本 污染 虽然 可 
能 引入 有 害 内 容 , 但 很 容易 通过 校 验 码 等 简单 的 机 制 加 以 识别 (目前 的 P2P 文件 共享 网 络 
大 都 采用 了 这 种 机 制 ) ,因此 这 两 种 污染 方式 单独 使 用 时 危害 性 相对 较 小 。 对 P2P 共享 社 
区 的 内 容 安全 威胁 最 大 的 是 版 本 污染 ,这 种 污染 方式 需要 特别 的 关注 ,以 下 除非 特别 指出 ， 
提 到 “文件 污染 ”的 地 方 都 是 特 指 版 本 污染 。 

由 于 现 有 的 P2P 文件 共享 网 络 普遍 缺乏 准 入 控制 和 内 容 管理 机 制 ,所 以 ,污染 者 可 以 
像 正常 用 户 一 样 自由 地 发 布 和 共享 任何 内 容 。 再 加 上 P2P 网 络 中 文件 传播 往往 是 “一 传 
十 ,十 传 百 ”, 而 用 户 的 行为 又 具有 很 强 的 自主 性 ,很 难 加 以 管理 ,因此 ,文件 污染 一 旦 发 生 ， 
一 般 很 难得 到 有 效 的 控制 。 最 终 的 后 果 是 造成 P2P 网 络 中 充斥 大 量 不 可 用 的 、 甚 至 是 有 害 
的 索引 信息 .文件 版 本 或 文件 副本 ,从 而 引起 有 害 内 容 的 扩散 和 资源 可 用 性 的 降低 ,并 最 终 
造成 用 户 的 流失 。 

2. 研究 现状 

P2P 文件 污染 的 报道 最 早出 现 于 2002 年 ,美国 的 Overpeer 公司 曾经 成 功 的 使 当时 最 
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受 欢 迎 的 KaZaA 网 络 上 被 污染 的 文件 占 到 总 文件 数量 的 一 半 以 上 29 。 学 术 界 对 这 一 现象 
的 研究 是 从 2005 年 开始 的 。 文 献 [41] 最 先 对 P2P 文件 污染 进行 了 正式 的 描述 ,随后 ,文件 
污染 问题 开始 引起 更 多 研究 者 的 关注 。 根 据 关 注 角度 和 研究 方法 的 不 同 ,目前 学 术 界 对 
P2P 文件 污染 的 研究 工作 大 致 可 以 分 为 三 类 : 

第 一 类 是 对 现 有 P2P 网 络 中 的 文件 污染 现状 的 测量 分 析 。 例 如 文献 [41] 对 Kazaa 网 
络 中 的 文件 污染 进行 了 详细 的 测量 、 统 计 和 分 析 , 文 献 L48] 侧 重 于 eDonkey 网 络 ,文献 [45] 
侧重 于 BitTorrent 网 络 ,而 文献 [46] 则 同时 对 eDonkey, KaZaa, Gnutella 和 OverNet 这 几 
种 流行 的 P2P 网 络 上 的 内 容 可 用 性 和 污染 问题 进行 了 广泛 深入 的 测量 和 分 析 。 这 些 测 量 
和 分 析 很 好 的 揭示 了 P2P 网 络 中 污染 文件 的 静态 空间 分 布 ,但 大 多 并 不 能 揭示 出 污染 扩散 
过 程 的 动态 时 间 演 化 规律 。 

第 二 类 是 对 P2P 环境 中 文件 污染 问题 的 抽象 和 建 模 研究 。 文 献 [47] 中 的 P2P 文件 传 
播 模 型 借鉴 了 疾病 传播 的 K-M(Kermack-Mckendrick) 模 型 。 作 者 用 他 们 的 模型 分 析 了 单 
个 版 本 文件 的 传播 规律 ,并 推导 出 保证 传播 成 功 的 离开 率 ” 门 限 。 他 们 还 通过 仿真 实验 分 
析 了 两 个 版 本 (一 个 正常 ,一 个 被 污染 ) 的 竞争 传播 。 文献 [49] 采 用 了 类 似 的 方法 为 P2P 病 
毒 和 文件 污染 散播 建 模 。 他 们 还 考察 了 节点 动态 进出 系统 的 影响 ,以 及 信誉 系统 的 作用 。 
文献 L50] 中 的 模型 较为 简略 ,基本 上 遵循 了 相同 的 思路 。 但 该 文中 对 用 户 行为 的 问卷 分 析 
结果 提供 了 非常 有 参考 价值 的 两 个 结论 , 即 : 同一 用 户 对 不 同类 型 的 污染 所 具有 的 警觉 性 
可 能 是 不 同 的 ,而 不 同 用 户 对 同样 的 污染 也 可 能 具有 不 同 的 警觉 性 。 

第 三 类 研究 工作 的 主要 内 容 是 探讨 如 何 防治 P2P 文件 污染 或 者 对 污染 内 容 的 扩散 进 
行 控 制 。 由 于 P2P 文件 污染 现象 出 现 的 历史 短 ,规模 大 、 情 况 复杂 多 变 ,所 以 这 一 类 研究 工 
作 大 多 是 尝试 和 探讨 ,并 没有 得 到 广泛 公认 的 成 功 先例 。 被 讨论 较 多 的 一 种 方案 是 针对 共 
享 文件 的 内 容 可 用 性 而 建立 的 “对 象 信誉 系统 ”, 关 于 这 种 方案 的 细节 可 以 参见 文献 L[51] 。 


10.5 小 结 


本 章 对 对 等 网 络 的 可 信和 及 公正 性 问题 进行 了 研究 ,综述 了 当前 研究 中 采用 的 激励 机 制 、 
信任 机 制 和 安全 机 制 来 控制 节点 的 自私 行为 和 恶意 行为 。 随 着 对 等 网 络 应 用 日 益 广泛 , 安 
全 问题 也 将 越 来 越 突 出 ,对 对 等 网 络 的 安全 研究 工作 将 更 为 系统 和 深入 。 
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